Kibervédelmi kutatók több mint 40 olyan rosszindulatú böngészőbővítményt tártak fel a Mozilla Firefoxhoz, amelyek kriptovaluta-tárcák adatait próbálják ellopni, ezzel veszélybe sodorva a felhasználók digitális vagyonát.
„Ezek a bővítmények ismert platformok – például a Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet és Filfox – valódi tárcaeszközeinek álcázzák magukat” – mondta Yuval Ronen, a Koi Security kutatója.
A nagyszabású kampány legalább 2025 áprilisa óta zajlik, és még a múlt héten is kerültek fel új bővítmények a Firefox Add-ons áruházba.
A felfedezett bővítmények mesterségesen növelték saját népszerűségüket, több száz 5 csillagos értékelést generálva – jóval többet, mint amennyi ténylegesen aktív telepítésük volt. Ezt a taktikát azért alkalmazzák, hogy hitelesnek tűnjenek, így tévesztve meg a gyanútlan felhasználókat.
Egy másik módszerük az volt, hogy az eredeti pénztárcabővítmények nevét és logóját másolták le, így növelve a felhasználók bizalmát.
Az is hozzájárult a támadás sikeréhez, hogy néhány valódi bővítmény nyílt forráskódú volt – ez lehetővé tette a támadóknak, hogy lemásolják a kódot, majd belecsempésszék saját kártékony funkcióikat, melyekkel ki tudták nyerni a felhasználók tárcakulcsait és seed phrase-eit (helyreállító kulcskifejezéseit), és azokat egy távoli szerverre továbbították. A hamis bővítmények az áldozatok külső IP-címét is elküldték.
A megszokott adathalász csalásokkal ellentétben – amelyek általában hamis weboldalakon vagy e-maileken keresztül történnek – ezek a bővítmények közvetlenül a böngészőben működnek, így sokkal nehezebben észlelhetők vagy blokkolhatók hagyományos védelmi eszközökkel.
„Ez az alacsony erőfeszítést igénylő, de nagy hatású megközelítés lehetővé tette a támadónak, hogy a megszokott felhasználói élményt fenntartsa, miközben csökkentette a lebukás esélyét” – tette hozzá Ronen.
A forráskódban talált orosz nyelvű megjegyzések, valamint egy, a parancs- és vezérlőszerverről (C2) visszanyert PDF fájl metaadatai alapján a támadás mögött egy oroszul beszélő hackercsoport állhat.
Az összes azonosított bővítményt eltávolították a Firefox áruházából, kivéve a MyMonero Walletet. A Mozilla a múlt hónapban bejelentette, hogy kifejlesztett egy „korai észlelő rendszert”, amely segít felismerni és blokkolni a csaló kriptotárcás bővítményeket még azelőtt, hogy azok szélesebb körben elterjednének.
A hasonló fenyegetések kockázatának csökkentése érdekében érdemes kizárólag ellenőrzött fejlesztőktől származó bővítményeket telepíteni, és rendszeresen ellenőrizni, hogy nem változtattak-e viselkedésükön a telepítés után. – írja a The Hacker News.
Kép forrása: Mozilla Hacks