Un inversor anónimo en criptomonedas con el nombre de usuario “Sell When Over” en X ha informado de una pérdida de 800.000 dólares debido a dos extensiones del navegador Google Chrome supuestamente maliciosas.
El inversor primero dio la alarma con una publicación en X, revelando que habían descubierto una pérdida de $500,000 en múltiples aplicaciones de billetera.
El ataque a la extensión de Chrome provoca una pérdida de 800.000 dólares
“Creo que me atacaron una extensión, con dos extensiones sospechosas que aparecieron en mi navegador Chrome”, revelaron. Una investigación más exhaustiva realizada por la víctima descubrió el alcance del compromiso, que ascendía a una pérdida de 800.000 dólares. Sospechaban de un compromiso en su navegador Google Chrome, que podría involucrar un registrador de pulsaciones de teclas dirigido a extensiones específicas de billeteras criptográficas.
El compromiso total parece ser de unos 800.000 dólares. Sospecho que esto fue un compromiso de Google Chrome que contenía un posible registrador de pulsaciones de teclas dirigido a aplicaciones de extensión de billetera específicas (ya sea debido a una vulnerabilidad de Chrome debido a que retrasé las actualizaciones periódicas o recibí malware que no fue detectado por… pic.twitter.com/yMJfHAFzQo
— Vender cuando termine | 9000.sei (@sell9000) 8 de abril de 2024
Varias semanas antes, el comerciante pospuso repetidamente una actualización de Google Chrome. Sin embargo, una actualización obligatoria de Windows finalmente obligó a reiniciar el sistema. Al reiniciar Chrome, notaron que todas sus pestañas habían desaparecido y que los inicios de sesión de las extensiones se habían restablecido.
Después del incidente, la víctima se vio obligada a volver a ingresar todas sus credenciales en Chrome y reimportar manualmente frases iniciales para sus billeteras de criptomonedas desde un dispositivo seguro separado.
El usuario sospecha que el keylogger comprometió su información confidencial, lo que provocó que posteriormente se agotaron los fondos. El usuario tampoco observó ningún comportamiento anormal en su navegador después del reinicio, y su escáner de virus no indicó problemas ni otras extensiones sospechosas.
Extensiones de Chrome identificadas como registradores de teclas
Después de la investigación preliminar, identificaron dos extensiones sospechosas: “Sync test beta” y “Simple Game” y una configuración de traducción automática al coreano habilitada en Chrome.
El usuario no estaba seguro de cómo exactamente se vio comprometido su navegador Chrome, pero confirmó que la extensión “Sync test BETA” era un registrador de teclas. Mientras tanto, “Simple Game” parecía monitorear las actividades de las pestañas y comunicarse con el script PHP de un sitio externo.
“Este es un error costoso de $ 800 mil; la lección es que si algo parece estar mal y le solicita que ingrese una semilla, primero limpie toda la PC”, advirtió el comerciante.
Ellos también explicado que habían bajado la guardia porque la actualización coincidió con una actualización importante de Chrome, que incluía cambios en el proceso de selección de usuarios y la interfaz de inicio de sesión con Google. Esto les llevó a pensar que el reseteo de extensiones y la pérdida de pestañas se debían a esta importante actualización.
A partir de la última actualización, los atacantes supuestamente transfirieron los fondos a dos intercambios: MEXC, ubicado en Singapur, y Gate.io, con sede en las Islas Caimán.
OFERTA LIMITADA 2024 para lectores de CryptoPotato en Bybit: ¡Utilice este enlace para registrarse y abrir una posición BTC-USDT de $500 en Bybit Exchange de forma gratuita!