Er is een grote hoeveelheid crypto gestolen door middel van een malafide Google Chrome extension. Een crypto investeerder genaamd Sell When Over laat op X (Twitter) weten dat er $ 800.000 van hem gestolen is.
In een reeks berichten op X (Twitter) laat de gebruiker weten dat malafide extensions genaamd ‘Sync test BETA (Colorful)’ en ‘Simple Game’ mogelijk keyloggers bevatten. Deze keyloggers zouden zich richten op specifieke wallet extensions.
Wat zijn keyloggers?
Keyloggers zijn slechte apps die gebruikt worden door cybercriminelen om alle toetsaanslagen op een computer bij te houden. Op die manier krijgen criminelen toegang tot vertrouwelijke informatie van de computer van het slachtoffer.
Een keylogger is een makkelijke manier om aan een wachtwoord of code te komen. Daarnaast kunnen zelfs muisbewegingen bijgehouden worden met zo’n logger. Keyloggers bevinden zich meestal in mails, sms’jes, maar ook in apps of extensions.
De problemen met de malafide extensions
Volgens Sell When Over dook er een probleem op nadat Google Chrome vorige maand een update uitbracht. Hij had de update uitgesteld, maar na een update van Windows werd hij genoodzaakt zijn computer te herstarten.
Na het herstarten kwam hij erachter dat alle extensions van zijn computer waren uitgelogd en zijn tabbladen spoorloos verdwenen waren. Dit forceerde hem om overal opnieuw in te loggen.
Dit was ook het geval bij zijn wallets, waarbij hij zijn seed phrases opnieuw in moest vullen. Sell When Over vermoedt dat dit het moment was waarop de keylogger aan zijn vertrouwelijke informatie is gekomen. Naar verluidt schijnt de crypto na drie weken uit zijn wallets opgenomen te zijn.
De oorzaak van het probleem
Naast deze problemen heeft Sell When Over geen problemen gehad met zijn browser. Ook met een virusscanner kwam hij niet verder.
Zo schreef hij op X (Twitter): “Ik heb mijn virusscanner gecontroleerd en er waren geen problemen. Er zijn geen extra rare extensies verschenen. Ik ging verder met het opnieuw importeren van mijn seed phrases.”
Bij later onderzoek vond hij pas de oorzaak van het probleem: twee Google Chrome extensions in het systeem. Bovendien werd zijn browser ingesteld om Google Translate automatisch over te schakelen naar het Koreaans.
Uit de laatste update blijkt dat de gestolen crypto naar twee exchanges is gestuurd: de Singaporese MEXC-beurs en de Gate.io die op de Kaaimaneilanden gevestigd is. Hoewel Sell When Over niet zeker was over hoe zijn browser gehackt werd, bevestigde zijn latere analyse dat ‘Sync test BETA (colorful)’ een keylogger was.
De extension stuurde gegevens naar het PHP-script van een onbekende website. Als deze onbekende website handmatig geopend werd door een buitenstaander, wordt er een lege pagina weergegeven met alleen ‘Hi’ erop.
Later bleek ook dat de extension ‘Simple Game’ controleerde of er tabbladen werden bijgewerkt, geopend, gesloten of vernieuwd.
Een dure fout
Dit was een zeer dure fout van Sell When Over. Zo schreef hij op X (Twitter): “Dit is een kostbare fout van $ 800.000. De les is dat als er iets niet helemaal klopt, zoals de vraag om een seed in te vullen, je beter eerst je gehele computer kunt controleren.”
Nadat Sell When Over dit op X (Twitter) heeft gepost, staan de Google Chrome extensions niet meer in de Chrome Web Store.
Problemen met malafide extensions
Al jaren heeft men problemen met malafide extension in Google Chrome. In een rapport van Trustwave uit 2023 bleek dat Chrome malware met de naam ‘Rilide’ om vertrouwelijke gegevens en crypto van nietsvermoedende slachtoffers te stelen. Deze malware werd gebruikt om rouge browserextensions te installeren die crypto wallets leeg konden maken.
In 2022 was een vorm van Windows malware actief die wederom Google Chrome extensions gebruikte om crypto en klembordgegevens te stelen. Deze extensions waren zodanig geavanceerd dat ze HTML op een website aan konden passen zodat de website de oude hoeveelheid crypto weergaf, terwijl een wallet op de achtergrond leeg werd getrokken.