Фирма по кибербезопасности KOI Security обнаружила крупномасштабную вредоносную кампанию, ориентированную на пользователей криптовалюты, посредством фальшивых расширений Firefox.
Кампания включает в себя более 40 расширений, выдающих себя за широко используемые инструменты крипто -кошелька.
Это включает в себя Coinbase, Metamask, Trust Wallet, Phantom, Exodus, Okx, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox. После установки эти расширения молча крадут учетные данные кошелька и эксфильтрируют их на серверы, контролируемые злоумышленником, ставят пользовательские активы сразу же.
Пользователи крипто
В своем последнем посте KOI Security сообщила, что кампания была активной, по крайней мере, с апреля 2025 года. Фактически, новые мошеннические загрузки появились в магазине Mozilla Addons уже недавно, на прошлой неделе, что указывало на то, что операция постоянная, адаптивная и настойчивая.
Эти расширения передают внешние IP -адреса жертвы во время инициализации, вероятно, для отслеживания или нацеливания, при этом извлечение секретов кошелька непосредственно с целевых сайтов. Копируя рейтинги, обзоры и брендинг, злоумышленники заставляют свои расширения выглядеть надежными, что в конечном итоге заставляет больше пользователей загружать их.
Многие из фальшивых расширений имели сотни поддельных положительных отзывов, превышающих их фактическую пользовательскую базу, что позволило им появиться широко принятым и авторитетным в экосистеме Mozilla Addons.
В некоторых случаях было обнаружено, что злоумышленники клонировали реальные расширения кошелька с открытым исходным кодом и встроенную злую логику, сохраняя при этом ожидаемую функциональность. Это было сделано, чтобы избежать обнаружения и обеспечить беспрепятственный пользовательский опыт, тактику, которая позволила продолжить кражу учетных данных без подозрений.
Расследование безопасности KOI Security прослежило общую инфраструктуру и тактику, методы и процедуры кампании (TTP) в рамках расширений и выявило скоординированную операцию, ориентированную на сбор учетных данных и отслеживание пользователей в рамках крипто -экосистемы. Он призвал пользователей Firefox немедленно просмотреть установленные расширения, удалить подозрительные инструменты и повернуть учетные данные кошелька, где это возможно.
Фирма также заявила, что она активно сотрудничает с Mozilla для удаления идентифицированных злонамеренных расширений и мониторинга для дальнейшей загрузки, связанной с этой кампанией.
Российские подсказки в Кодексе кампании
Данные свидетельствуют о российскоязычной группе угроз за кампанией. Security Coi утверждает, что обнаружил, что российские заметки скрыты в коде и метаданных расширения от PDF на сервере управления, показывающим российский текст.
Эти подсказки не являются окончательными доказательствами, но указывают на возможного российского актера, выполняющего операцию.
Последний отчет переходит через несколько месяцев после того, как потенциальная связанная с Россией крипто-афера с использованием поддельных связей собрания для кражи миллионов была обнаружена Slowmist. Фирма по безопасности блокчейна проследила деятельность вредоносных программ до сервера в Нидерландах, но нашла сценарии российского языка в инструментах злоумышленников, которые указывали на возможные российские оперативники. Злоумышленники сливали кошельки и превратили украденные активы в ETH на крупных биржах.
Источник: cryptospy.ru