Поддельные расширения кошельков для криптовалюты наводнили магазин Firefox

Вредоносная кампания использует поддельные расширения Firefox для кражи криптовалюты

Вредоносная кампания использует вредоносные дополнения для Firefox, которые выдают себя за законные криптовалютные кошельки, чтобы украсть средства неосторожных пользователей, говорится в новом исследовании.

Компания Koi Security обнаружила, что в рамках кампании «FoxyWallet» более 40 вредоносных расширений выдают себя за настоящие криптовалютные кошельки, включая Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero.

В рамках кампании вредоносный код используется для утечки секретов кошельков на контролируемые злоумышленниками серверы. Код проверяет вводимые строки длиной более 30 символов, чтобы отфильтровать реалистичные ключи/семенные фразы кошельков, а затем отправляет данные злоумышленникам. Внешний IP-адрес жертвы также передается злоумышленникам, что позволяет отследить ее или установить дальнейшую цель.

В Koi Security пояснили, что создатели FoxyWallet «воспользовались тем, что официальные расширения имеют открытый исходный код», добавив, что «они клонировали настоящие кодовые базы и вставляли свою собственную вредоносную логику, создавая расширения, которые вели себя как положено, но при этом тайно похищали конфиденциальные данные».

Дальнейшее изучение этих вредоносных расширений наводит на мысль о русскоязычном участнике угрозы: в их коде были обнаружены русскоязычные комментарии, а также метаданные, найденные в PDF-файле, обнаруженном на командно-контрольном сервере.

В рамках кампании «FoxyWallet» было создано более 40 вредоносных расширений, выдающих себя за легитимные криптовалютные кошельки в магазине дополнений Firefox.

Судя по всему, кампания была активной по крайней мере с апреля, а на прошлой неделе появились новые вредоносные расширения, сообщает Koi Security. Некоторые поддельные расширения все еще были доступны в магазине дополнений Firefox еще вчера, несмотря на то, что компания сообщила о своих находках Firefox с помощью официального инструмента отчетности.

В четверг создатели Firefox Mozilla выпустили заявление, в котором говорится, что компания «знает о попытках использовать экосистему дополнений Firefox с помощью вредоносных расширений для кражи криптовалюты», добавив, что «благодаря улучшенным инструментам и процессу мы предприняли шаги для быстрого выявления и удаления таких дополнений».

Компания добавила, что многие из вредоносных расширений, отмеченных в отчете Koi Security, были удалены ее командой до публикации, и что она «находится в процессе проверки оставшихся нескольких выявленных дополнений в рамках нашего постоянного обязательства по защите пользователей».

Недавно обнаруженный троянец под названием «SparkKitty» заражает смартфоны и выкачивает конфиденциальные данные, потенциально позволяя злоумышленникам опустошать криптовалютные кошельки жертв, говорится в отчете компании Kaspersky, опубликованном во вторник.

Вредоносная программа внедряется в приложения, связанные с криптовалютной торговлей, азартными играми и даже в модифицированные версии TikTok.

После установки через обманчивые профили инициализации, используемые для запуска приложений для iOS или модифицированных приложений, SparkKitty запрашивает доступ к фотогалерее. Он отслеживает...

Mozilla указала на недавнюю запись в блоге, в которой сообщалось о ее усилиях по борьбе с угрозой кражи криптовалют, в которой я Операционный менеджер ts Add-ons Андреас Вагнер отметил, что за последние годы компания обнаружила «сотни» мошеннических криптокошельков. «Это постоянная игра в кошки-мышки», - сказал Вагнер, поскольку разработчики вредоносного ПО пытаются «обойти наши методы обнаружения».

Decrypt связался с Mozilla и обновит эту статью, если они ответят.

Чтобы не стать жертвой FoxyWallet или подобных мошенников, пользователям рекомендуется загружать и устанавливать расширения только от проверенных издателей, относиться к расширениям как к полноценному программному обеспечению, использовать список разрешенных расширений, чтобы ограничить установку только предварительно одобренными, проверенными расширениями, и осуществлять постоянный мониторинг, а не просто одноразовое сканирование.

Краткое содержание

Более 40 вредоносных расширений выдавали себя за настоящие криптовалютные кошельки в магазине дополнений Firefox в рамках кампании по распространению вредоносного ПО «FoxyWallet».

Среди кошельков, за которые выдавали себя вредоносные расширения, - Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero, сообщает Koi Security.

Создатель Firefox компания Mozilla в своем недавнем блоге заявила, что ведет «постоянную игру в кошки-мышки» с разработчиками вредоносного ПО, стремящимися обойти ее методы обнаружения.