Phishing : 49 extensions voleuses de crypto retirées du store Google Chrome

Quand il s’agit de récupérer des données privées, et notamment des clés privées de wallets de cryptomonnaies, les hackers savent se donner les moyens. Le phishing reste la technique la plus largement répandue. 

49 extensions retirées de Google Chrome

Cela n’a rien de nouveau, les fausses applications et extensions pullulent sur le store Google Chrome. Le mois dernier, une copie de l’application Ledger Live avait permis à son créateur de récupérer 1,4 million de Ripple (XRP). Une attaque classique de hameçonnage ou phishing.

Cette fois-ci, ce sont 49 applications contenant du code malicieux permettant de voler des cryptomonnaies qui ont été retirées du store Google Chrome. Ce raid massif a été possible grâce au travail de recherche de Harry Denley, directeur de la sécurité chez MyCrypto.

Phishing Google Chrome Store

Selon lui, les 49 applications ont été développées par la même personne ou groupe, probablement basé en Russie.

Ces applications miment des wallets crypto connus tel que Ledger, Trezor, Electrum ou MetaMask, pour ne citer qu’eux. Contrairement à d’autres cas antérieurs, le vol des cryptos ne semblait pas automatique. À cela s’ouvrent deux hypothèses :

  • L’attaquant se concentre uniquement sur les comptes à haute valeur et évite de siphonner les petits comptes pour ne pas éveiller les soupçons.
  • L’attaquant n’a pas réussi à automatiser le vol des cryptomonnaies.

Slack : nouveau client potentiel au phishing

Alors que les hackers se sont principalement concentrés sur les extensions malicieuses pour mener à bien leurs attaques phishing, d’autres médiums pourraient bien être utilisés à l’avenir.

Selon un rapport d’AT&T Labs, l’application de messagerie Slack pourrait, elle aussi, présenter des vulnérabilités. Ces dernières pourraient directement affecter l’écosystème crypto, due à l’utilisation généralisée de Slack au sein des équipes de développement et communautaires des projets crypto.

Cette faille permet à un attaquant d’envoyer des messages sur des canaux Slack, même sans avoir les autorisations d’accès à ces derniers. De ce fait, elle peut être utilisée pour mener des attaques de phishing, en poussant les utilisateurs à se connecter sur un faux site ou à télécharger de fausses extensions.

Phishing-Slack-webhook_configuration
L’utilisateur Slack victime de phishing est incité à mettre à jour sa configuration (image : AT&T)

Pour contrer ces attaques, les utilisateurs doivent redoubler de vigilance en faisant attention aux liens sur lesquels ils cliquent ainsi que les extensions ou applications qu’ils téléchargent. Prudence est mère de sûreté !

Image : Gorodenkoff/Shutterstock.com

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.