Google hat 49 Erweiterungen aus dem Chrome-Store entfernt, die Daten und Zugangsdaten von Nutzern gestohlen haben. Viele von ihnen litten auch unter Kryptowährungsdiebstahl
Sie sahen aus wie legitime Chrome-Erweiterungen zur Verwaltung der eigenen Kryptowährungs-Brieftasche, aber in Wirklichkeit stahlen sie nur die Zugangsdaten zur Brieftasche selbst und in einigen Fällen auch die virtuelle Währung. Google hat daher insgesamt 49 dieser Erweiterungen entfernt.
Die Entdeckung dieser bösartigen Erweiterungen geht jedoch nicht auf Google zurück, sondern, wie so oft, auf einen Forscher einer Computersicherheitsfirma. Die Informationen wurden an den Giganten aus Mountain View weitergeleitet, der, nachdem er festgestellt hatte, dass diese Chrome-Erweiterungen tatsächlich gefährlich waren, sie aus dem Store entfernte. Der betreffende Forscher ist Harry Denley, Direktor von MyCripto, und in einem Interview mit ZDNet erklärte er auch, wie die entfernten Erweiterungen funktionieren. Und das ist eine sehr eigenartige und interessante Arbeitsweise.
Wie die 49 gefährlichen Chrome-Erweiterungen funktionierten
Die 49 entdeckten und aus dem Google-Store entfernten Erweiterungen haben nichts anderes getan, als die legitimen Erweiterungen von Krypto-Wallet-Apps (d.h. Apps zur Verwaltung Ihrer Kryptowährungs-Wallet) wie Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus und KeepKey nachzuahmen. Und sie haben sie wirklich gut nachgeahmt, mit einer Schnittstelle, die praktisch identisch mit der des Originals ist. Sie erlaubten dem Nutzer nicht nur, seine Kryptowährungen zu verwalten, sondern schickten auch die Zugangsdaten zur Brieftasche an den Entwickler der Erweiterung.
Nach Angaben von Denley wurden alle Erweiterungen von derselben Person oder Personengruppe entwickelt, die höchstwahrscheinlich in Russland ansässig ist. Noch interessanter ist, dass die Installation einer dieser Erweiterungen nicht automatisch zum Verlust der eigenen virtuellen Währung führte: Die Entwickler gingen offenbar dazu über, die Kryptowährung manuell zu stehlen, und zwar nur von den größten Geldbörsen. Aber einige Diebstähle, so Denley, sind mit Sicherheit vorgekommen.
Es wird noch mehr geben
Denley zufolge ist es außerdem fast sicher, dass noch weitere ähnliche Erweiterungen entdeckt werden, da der Entwickler (oder die Gruppe von Entwicklern), der/die diese 49 Erweiterungen erstellt hat/haben, in der Lage zu sein scheint, in einem ziemlich großen Maßstab zu operieren. Denley bittet die Nutzer daher dringend, verdächtige Erweiterungen an MyCripto zu melden. MyCripto prüft diese und registriert sie in der CryptoScamDB, einer Datenbank mit vielen anderen gefährlichen Erweiterungen und Apps für Kryptowährungshändler.