Dos extensiones maliciosas del navegador Google Chrome supuestamente extrajeron 800.000 dólares de un inversor en criptomonedas que se hacía llamar "Sell When Over" en X.
En una serie de publicaciones en X, el usuario especuló que las extensiones maliciosas denominadas “Sync test BETA (colorido)” y “Simple Game” posiblemente contenían Keyloggers dirigidos a aplicaciones de extensión de billetera específicas. Los Keyloggers son aplicaciones maliciosas utilizadas por los ciberdelincuentes para registrar cada pulsación de tecla de la computadora de un objetivo. Esto permite a los atacantes acceder a información confidencial desde la computadora de la víctima.
Según el usuario, el problema surgió inicialmente después de que Google Chrome lanzara una actualización el mes pasado. El usuario, que había estado retrasando la actualización de Chrome, se vio obligado a reiniciar su computadora después de que Windows lanzó una actualización para PC.
Curiosamente, después del reinicio, que es un paso común al instalar actualizaciones del sistema operativo, se cerraron todas las extensiones del usuario en Chrome y desaparecieron todas sus pestañas. Esto obligó al usuario a volver a ingresar todas sus credenciales en Chrome, junto con sus frases iniciales para sus billeteras de criptomonedas.
El usuario especula que fue entonces cuando su información confidencial se vio comprometida a través del registrador de teclas. Según los informes, los fondos se agotaron tres semanas después de este evento. Además, el usuario no notó ninguna actividad inusual en su navegador después del reinicio.
“Revisé mi escáner de virus y no hubo problemas. No aparecieron extensiones extrañas adicionales. Procedí a volver a importar mis frases iniciales”, escribió el usuario.
Sólo durante una investigación posterior el usuario descubrió las dos extensiones maliciosas en su sistema. Además, su navegador también tenía configurado Google Translate para traducir automáticamente al coreano.
También te puede interesar: Un comerciante pierde más de 674.000 dólares por una estafa de phishing
A partir de la última actualización, los atacantes supuestamente enviaron los fondos a dos intercambios, el intercambio MEXC con sede en Singapur y Gate.io con sede en las Islas Caimán.
Si bien el usuario no estaba seguro de cómo exactamente se vio comprometido su navegador Chrome, su análisis confirmó que la extensión BETA (colorida) de la prueba de sincronización era un registrador de teclas. Según se informa, la extensión enviaba datos al script PHP de un sitio web externo. El sitio web del atacante, cuando se abre manualmente, muestra una página en blanco con solo "Hola" escrito. Mientras tanto, la extensión "Juego simple" estaba "comprobando si las pestañas están actualizadas/abiertas/cerradas/actualizadas", agregó el usuario.
"Este es un error costoso de $ 800 mil; la lección es que si algo parece estar mal y le solicita que ingrese una semilla, primero limpie toda la PC", escribió Sell When Over.
En el momento de la publicación, ninguna de las extensiones apareció en Chrome Web Store.
Las extensiones maliciosas en Google Chrome llevan años plagando el sector de las criptomonedas. En un informe de 2023, investigadores de ciberseguridad revelaron que los piratas informáticos estaban empleando un malware cromado llamado Rilide para robar datos confidenciales y criptomonedas de víctimas desprevenidas. El malware se utilizó para implementar extensiones de navegador fraudulentas capaces de drenar fondos criptográficos.
Como informó anteriormente Crypto.news, a finales de 2022 se descubrió otra pieza de malware de Windows. Utilizaba extensiones de Google Chrome para vaporizar criptomonedas y datos del portapapeles. Las extensiones podrían editar HTML en sitios web para mostrar los fondos reales del usuario en una billetera mientras vacían la billetera en segundo plano.
Leer más: Un usuario de Binance pierde 70.000 dólares en un hack, el soporte culpa al proveedor de correo electrónico