Более 40 поддельных расширений для популярного веб-браузера Mozilla Firefox были связаны с продолжающейся кампанией по краже криптовалют, согласно отчету, опубликованному в среду компанией по кибербезопасности Koi Security.
Сообщается, что в рамках масштабной фишинговой операции используются расширения, выдающие себя за инструменты для кошельков, такие как Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget и другие. После установки вредоносные расширения предназначены для кражи учетных данных кошельков пользователей.
“На данный момент нам удалось связать с этой кампанией более 40 различных расширений, которые до сих пор активны и продолжают функционировать,” – заявила компания.
Koi Security сообщает, что кампания ведется как минимум с апреля, а самые последние расширения были загружены на прошлой неделе. Сообщается, что расширения извлекают учетные данные кошельков непосредственно с целевых веб-сайтов и загружают их на удаленный сервер, контролируемый злоумышленником.
Вредоносное ПО использует доверие за счет дизайна
Согласно отчету, кампания использует рейтинги, отзывы, брендинг и функциональность для завоевания доверия пользователей, выдавая себя за легитимное ПО. Одно из приложений имело сотни фальшивых пятизвездочных отзывов.
Поддельные расширения также имели идентичные имена и логотипы реальным сервисам, которые они имитировали. В нескольких случаях злоумышленники также использовали исходный код официальных расширений, клонируя приложения, но добавляя вредоносный код:
“Этот подход, требующий минимальных усилий, но приносящий большой эффект, позволил злоумышленнику поддерживать ожидаемый пользовательский опыт и снизить вероятность немедленного обнаружения.”
Подозревается русскоговорящий злоумышленник
Koi Security заявила, что “атрибуция остается предварительной”, но предположила, что “множество сигналов указывают на русскоговорящего злоумышленника”. Эти сигналы включают комментарии на русском языке в коде и метаданные, найденные в PDF-файле, полученном с сервера управления и контроля вредоносного ПО, участвующего в инциденте:
“Хотя это и не является окончательным доказательством, эти артефакты позволяют предположить, что кампания может исходить от группы русскоговорящих злоумышленников.”
Для снижения рисков Koi Security призвала пользователей устанавливать расширения браузера только от проверенных издателей. Компания также рекомендовала рассматривать расширения как полноценные программные активы, используя списки разрешенных приложений и отслеживая неожиданное поведение или обновления.
