Взломанное расширение MEGA для Chrome было использовано для кражи криптовалюты
По словам исследователей безопасности, расширение Google Chrome для популярного сервиса загрузки и совместного использования файлов MEGA, было скомпрометировано хакерами, которые хотят украсть учетные данные и криптовалютные ключи.
Сервис MEGA, который был запущен Кимом Доткомом в 2013 году после кончины MegaUpload, теперь удалил свое расширение из Интернет-магазина Chrome.
SerHack был первым исследователем, который забил тревогу, предупредив в твите 4 сентября, что версия 3.39.4 расширения была взломана, и потенциально собирает информацию о пользователе, включая имена пользователей и пароли с нескольких платформ, включая Amazon, Github, Google и Microsoft.
Скомпрометированное расширение MEGA активно контролирует информацию пользователя, хранящуюся в браузере, и ищет строки URL, которые указывают регистрационные формы или формы входа. Данные о таких формах затем отправляются на неопознанный хост в Украине (megaopac.host).
Вредоносный код также отслеживает определенные URL-адреса, такие как «https://www.myetherwallet.com/*», «https://mymonero.com/*» и «https://idex.market/*». Если обнаружена сохраненная информация, код выполняет функцию javascript, которая пытается украсть частные криптовалютные ключи зарегистрированных пользователей.
Подтверждая взлом, MEGA выпустила заявление:
«4 сентября 2018 года в 14:30 UTC неизвестный злоумышленник загрузил троянскую версию расширения MEGA Chrome версии 3.39.4 в веб-магазин Google Chrome. После установки или авторизации он будет запрашивать повышенные права доступа(читать и изменять все ваши данные на посещаемых вами веб-сайтах), которых реальное расширение MEGA не требует и не собирает (если бы разрешения были предоставлены) учетные данные для сайтов, включая amazon.com, live.com, github.com, google.com (для входа в интернет-магазин), myetherwallet.com, mymonero.com, idex.market и не шлет HTTP POST-запросы на сервер, расположенный в Украине. Обратите внимание, что учетные данные mega.nz не просочились».
В заявлении, опубликованном вчера, MEGA обвинила Google в том, что она отказалась от возможности подписывать расширения, что облегчает проведение таких инцидентов.
Выдержка из заявления гласит:
«Мы хотели бы извиниться за этот значительный инцидент. MEGA использует строгие процедуры выпуска с многоэтапным обзором кода, надежным процессом сборки и криптографическими сигнатурами, где это возможно. К сожалению, Google решил запретить подписывание издателей расширений Chrome и теперь полагается исключительно на их подписку после загрузки в интернет-магазин Chrome, что устраняет важный барьер для внешнего взлома. MEGAsync и наше расширение Firefox подписаны и размещены нами и поэтому не могут стать жертвами этого способа атаки».