Согласно отчету, опубликованному в среду фирмой Coi Security, более 40 поддельных расширений для популярного веб -браузера Mozilla Firefox были связаны с постоянной вредоносной кампанией по краже криптовалют.
По сообщениям, крупномасштабная фишинговая операция развертывает удлинители, выдающиеся на кошелек, такие как Coinbase, Metamask, Trust Wallet, Phantom, Exodus, Okx, MyMonero, Bitget и другие. После установки злонамеренные расширения предназначены для кражи учетных данных кошелька пользователей.
«До сих пор мы смогли связать более 40 различных расширений с этой кампанией, которая все еще продолжается и очень жива», – сказали в компании.
Кой Security сообщила, что кампания была активной, по крайней мере, с апреля, и самые последние расширения были загружены на прошлой неделе. Сообщается, что расширения извлекают учетные данные кошелька непосредственно с целевых веб -сайтов и загружают их на удаленный сервер, управляемый злоумышленником.
Связанный: как простое расширение браузера предотвращало перевод на 80 тысяч долларов в вредоносный кошелек
Улвнативные программы эксплуатируют доверие с помощью дизайна
Согласно отчету, кампания использует рейтинги, обзоры, брендинг и функциональность, чтобы завоевать доверие пользователей, появляясь законными. В одном из приложений были сотни фальшивых пятизвездочных обзоров.
Фальшивые расширения также имели идентичные имена и логотипы в реальных услугах, которые они выдавали себя за себя. В нескольких случаях актеры угроз также использовали Кодекс с открытым исходным кодом официальных расширений, клонируя свои приложения, но с добавлением вредоносного кода:
«Этот низкоэффективный, высокоэффективный подход позволил субъекту сохранить ожидаемый пользовательский опыт при одновременном снижении шансов на немедленное обнаружение».
Связанный: Microsoft предупреждает о новом удаленном доступе Trojan, нацеленном на криптовалютные кошельки
Русский говорящий на угрозе актер подозревал
Security Coi заявила, что «атрибуция остается предварительной», но предположил, что «множественные сигналы указывают на российскоязычный актер угроз». Эти сигналы включают в себя комментарии российского языка в коде и метаданные, найденные в файле PDF, полученном с сервера команды и контроля вредоносных программ, участвующих в инциденте:
«Хотя это и не окончательно, эти артефакты предполагают, что кампания может исходить из российской группы актеров, говорящих на российском языке».
Чтобы смягчить риск, KOI Security призвала пользователей установить расширения браузера только от проверенных издателей. Фирма также рекомендовала рассматривать расширения как полные программные активы, используя списки Allists и мониторинг неожиданного поведения или обновлений.
