Специалист MyCrypto обнаружил расширение Ledger Live для Chrome, активно рекламирующееся в Google. Оно маскировалось под настоящий инструмент Ledger Live, предназначенный для пользователей аппаратных кошельков Ledger и их мобильных или десктопных устройств.
Мошенники старательно поддерживали видимость того, что фейк -- это официальная версия Ledger Live для Chrome, которая позволяет через браузер осуществлять точно такие же операции (проверять баланс, подтверждать транзакции). Однако вместо этого подделка предлагала пользователям установить расширение и синхронизировать с ним с свой Ledger, введя seed-фразу кошелька.
Seed-фраза представляет собой строку из 24 слов, которая используется для перемещения данных кошелька между устройствами, в качестве системы восстановления на тот случай, если пользователь потеряет или захочет сменить устройство.
В сущности, мошенническое разрешение не делало больше ничего, лишь показывало всплывающее окно с запросом seed-фразы, и при помощи Google Form собирало и отправляло эти данные своим операторам.
Затем мошенники могли использовать украденные seed-фразы с собственным кошельком Ledger и «восстанавливать» кошельки других пользователей (чтобы получить доступ к их счетам и похитить средства). Так как аппаратные кошельки Ledger могут работать более чем с 20 различными криптовалютами, хакер, которому удается похитить seed-фразу, может получить доступ к немалым деньгам.
В настоящее время расширение еще доступно в официальном Chrome Web Store и насчитывает более 120 установок. Кроме того, по словам исследователя, расширение активно рекламируется через Google Ads по ключевым словам «Ledger Live».
This is being delivered by @GoogleAds under search phrase "Ledger Live"
— harrydenley.eth ◊ (@sniko_) March 4, 2020
cc: @Ledger @Ledger_Support pic.twitter.com/zrnxXqhHbb