Em uma série de postagens no X, o usuário especulou que as extensões maliciosas apelidadas de “Teste de sincronização BETA (colorido)” e “Jogo Simples” possivelmente continham Keyloggers direcionados a aplicativos específicos de extensão de carteira.

Keyloggers são aplicativos maliciosos usados ​​por criminosos cibernéticos para registrar cada pressionamento de tecla no computador de um alvo. Isso permite que os invasores acessem informações confidenciais do computador da vítima.

Segundo o usuário, o problema surgiu inicialmente depois que o Google Chrome lançou uma atualização no mês passado. O usuário, que estava atrasando a atualização do Chrome, foi forçado a reiniciar o computador depois que o Windows lançou uma atualização para PC.

Curiosamente, após a reinicialização, que é uma etapa comum ao instalar atualizações do sistema operacional, todas as extensões do usuário no Chrome foram desconectadas e todas as suas guias desapareceram. Isso forçou o usuário a inserir novamente todas as suas credenciais no Chrome, junto com as frases iniciais para suas carteiras de criptomoedas.

O usuário especula que foi aí que suas informações confidenciais foram comprometidas por meio do keylogger. Os fundos teriam sido drenados três semanas após este evento. Além disso, o usuário não notou nenhuma atividade incomum em seu navegador após a reinicialização.

“Verifiquei meu antivírus e não houve problemas. Nenhuma extensão estranha adicional apareceu. Comecei a reimportar minhas frases-semente”, escreveu o usuário.

Foi somente durante uma investigação posterior que o usuário descobriu as duas extensões maliciosas em seu sistema. Além disso, o navegador deles também tinha o Google Translate configurado para traduzir automaticamente para o coreano.

Na última atualização, os invasores teriam enviado os fundos para duas bolsas, a bolsa MEXC, com sede em Cingapura, e a Gate.io , com sede nas Ilhas Cayman . 

Embora o usuário permanecesse inseguro sobre como exatamente seu navegador Chrome foi comprometido, a análise confirmou que a extensão BETA (colorida) do teste de sincronização era um keylogger. A extensão supostamente estava enviando dados para um script PHP de um site externo. O site do invasor, quando aberto manualmente, mostra uma página em branco com apenas “Oi” escrito. Enquanto isso, a extensão “Jogo simples” estava “verificando se as guias estão atualizadas/abertas/fechadas/atualizadas”, acrescentou o usuário.  

“Este é um erro caro de US$ 800 mil – a lição é que se algo parecer estranho a ponto de solicitar que você insira uma semente e, em seguida, limpe todo o PC primeiro”, escreveu Sell When Over.

No momento da publicação, nenhuma das extensões apareceu na Chrome Web Store .

Extensões maliciosas no Google Chrome têm atormentado o setor de criptomoedas há anos. Em um relatório de 2023 , pesquisadores de segurança cibernética revelaram que hackers estavam empregando um malware cromo chamado Rilide para roubar dados confidenciais e criptomoedas de vítimas inocentes. O malware foi usado para implantar extensões de navegador capazes de drenar fundos criptográficos.

Conforme relatado anteriormente por Crypto.news, outro malware do Windows foi descoberto no final de 2022. Ele usava extensões do Google Chrome para vaporizar criptomoedas e dados da área de transferência. As extensões podem editar HTML em sites para exibir os fundos reais do usuário em uma carteira enquanto drenam a carteira em segundo plano.