Дослідники кібербезпеки виявили масштабну кампанію зі зловмисними розширеннями для браузера Firefox, які викрадали ключі доступу до криптогаманців користувачів.
Дослідники кібербезпеки виявили масштабну кампанію зі зловмисними розширеннями для браузера Firefox, які викрадали ключі доступу до криптогаманців користувачів.
За даними The Hacker News, понад 40 шкідливих додатків для браузера імітували відомі криптовалютні сервіси, зокрема: MetaMask, Coinbase Wallet, Trust Wallet, Phantom, Exodus, OKX, MyMonero та інші. Зловмисники копіювали дизайн і назви справжніх додатків, іноді навіть використовуючи відкритий вихідний код, до якого додавали свій шкідливий функціонал.
Користувачі, які встановлювали такі розширення, наражались на ризик крадіжки seed-фраз, приватних ключів і навіть IP-адрес. Усі викрадені дані пересилались на сервери хакерів. Один зі шкідливих модулів залишався доступним у каталозі Mozilla Add-ons навіть після видалення інших (йдеться про підробку MyMonero Wallet).
Щоб збільшити довіру, зловмисники масово накручували фейкові пʼятизіркові відгуки, що перевищували кількість активних установок, а також використовували російськомовні коментарі у вихідному коді. Також метадані з PDF-файлу з C2-сервера вказують на групу, що говорить російською.
Особливо тривожним є те, що ці розширення працюють усередині браузера, що ускладнює їх виявлення традиційними антивірусами.
Mozilla вже повідомила про розробку системи раннього виявлення підозрілих крипторозширень, яка має запобігти їх поширенню в майбутньому.
Експерти радять перевіряти авторів розширень, уникати невідомих видавців і бути особливо обережними з додатками, повʼязаними з фінансами.
Раніше ми писали про те, як YouTube продовжує агресивну боротьбу з блокувальниками реклами: останнє оновлення закриває чинні лазівки, зокрема у Firefox. Глядачі скаржаться, але платформа не здається: або реклама, або підписка.
Sylvester Bryant is a specialist in recovering stolen crypto funds. He helped me get back about €305,000 that a scammer took years ago. If you need assistance, reach out to Mr. Bryant at [email protected] or call +1 512 577 7957.