Більше 40 підроблених розширень для популярного веб -браузера Mozilla Firefox були пов’язані з поточною кампанією зловмисного програмного забезпечення для викрадення криптовалют, згідно з повідомленням, опублікованим у середу фірмою кібербезпеки KOI Security.
Як повідомляється, масштабна фішинг-операція розгортає розширення, що видають себе за допомогою інструментів гаманця, таких як Coinbase, Metamask, Trust Wallet, Phantom, Exodus, Okx, Mymonero, Bitget та інші. Після встановлення шкідливі розширення призначені для викрадення облікових даних про гаманець користувачів.
“Поки нам вдалося пов’язати понад 40 різних розширень з цією кампанією, яка все ще триває і дуже живе”, – сказала компанія.
Koi Security заявив, що кампанія активна щонайменше з квітня, і останні розширення були завантажені минулого тижня. Розширення, як повідомляється, витягують облікові дані гаманця безпосередньо з цільових веб -сайтів та завантажують їх на віддалений сервер, керований зловмисником.
Пов’язано: Як просте розширення браузера заважало перевезенню в 80 тис. Доларів до шкідливого гаманця
Зловмисне програмне забезпечення використовує довіру через дизайн
Згідно з доповіддю, кампанія використовує рейтинги, огляди, брендинг та функціональність, щоб отримати довіру користувачів, виявляючи законні. Одне із заявок мала сотні підроблених п’ятизіркових відгуків.
Підроблені розширення також містять однакові назви та логотипи до реальних послуг, які вони представляли. У декількох випадках суб’єкти загрози також використовували код відкритого коду офіційного розширення, клонувавши їхні програми, але з додатковим шкідливим кодом:
“Цей підхід з низьким вмістом, високий вплив дозволив актору підтримувати очікуваний досвід користувачів, зменшуючи шанси на негайне виявлення”.
Пов’язано: Microsoft попереджає про нові гаманці з криптовалютою на орієнтації на криптовалюту для дистанційного доступу
Російськомовна загроза Актора підозрюється
Koi Security заявив, що “атрибуція залишається орієнтовною”, але запропонувала “кілька сигналів вказувати на російськомовного актора”. Ці сигнали включають коментарі російської мови в коді та метадані, знайдені у PDF-файлі, отриманому з сервера командування та контролю зловмисного програмного забезпечення, що бере участь у інциденті:
“Хоча ці артефакти припускають, що кампанія може походити від російськомовної групи акторів”.
Щоб пом’якшити ризик, KOI Security закликала користувачів встановити розширення браузера лише від перевірених видавців. Фірма також рекомендувала розглядати розширення як повні активи програмного забезпечення, використовуючи списки Allow та моніторинг для несподіваної поведінки чи оновлень.
