Вредоносная кампания использует вредоносные дополнения для Firefox, которые выдают себя за законные криптовалютные кошельки, чтобы украсть средства неосторожных пользователей, говорится в новом исследовании.
Компания Koi Security обнаружила, что в рамках кампании «FoxyWallet» более 40 вредоносных расширений выдают себя за настоящие криптовалютные кошельки, включая Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero.
В рамках кампании вредоносный код используется для утечки секретов кошельков на контролируемые злоумышленниками серверы. Код проверяет вводимые строки длиной более 30 символов, чтобы отфильтровать реалистичные ключи/семенные фразы кошельков, а затем отправляет данные злоумышленникам. Внешний IP-адрес жертвы также передается злоумышленникам, что позволяет отследить ее или установить дальнейшую цель.
В Koi Security пояснили, что создатели FoxyWallet «воспользовались тем, что официальные расширения имеют открытый исходный код», добавив, что «они клонировали настоящие кодовые базы и вставляли свою собственную вредоносную логику, создавая расширения, которые вели себя как положено, но при этом тайно похищали конфиденциальные данные».
Дальнейшее изучение этих вредоносных расширений наводит на мысль о русскоязычном участнике угрозы: в их коде были обнаружены русскоязычные комментарии, а также метаданные, найденные в PDF-файле, обнаруженном на командно-контрольном сервере.
В рамках кампании «FoxyWallet» было создано более 40 вредоносных расширений, выдающих себя за легитимные криптовалютные кошельки в магазине дополнений Firefox.
Судя по всему, кампания была активной по крайней мере с апреля, а на прошлой неделе появились новые вредоносные расширения, сообщает Koi Security. Некоторые поддельные расширения все еще были доступны в магазине дополнений Firefox еще вчера, несмотря на то, что компания сообщила о своих находках Firefox с помощью официального инструмента отчетности.
В четверг создатели Firefox Mozilla выпустили заявление, в котором говорится, что компания «знает о попытках использовать экосистему дополнений Firefox с помощью вредоносных расширений для кражи криптовалюты», добавив, что «благодаря улучшенным инструментам и процессу мы предприняли шаги для быстрого выявления и удаления таких дополнений».
Компания добавила, что многие из вредоносных расширений, отмеченных в отчете Koi Security, были удалены ее командой до публикации, и что она «находится в процессе проверки оставшихся нескольких выявленных дополнений в рамках нашего постоянного обязательства по защите пользователей».
Недавно обнаруженный троянец под названием «SparkKitty» заражает смартфоны и выкачивает конфиденциальные данные, потенциально позволяя злоумышленникам опустошать криптовалютные кошельки жертв, говорится в отчете компании Kaspersky, опубликованном во вторник.
Вредоносная программа внедряется в приложения, связанные с криптовалютной торговлей, азартными играми и даже в модифицированные версии TikTok.
После установки через обманчивые профили инициализации, используемые для запуска приложений для iOS или модифицированных приложений, SparkKitty запрашивает доступ к фотогалерее. Он отслеживает...
Mozilla указала на недавнюю запись в блоге, в которой сообщалось о ее усилиях по борьбе с угрозой кражи криптовалют, в которой я Операционный менеджер ts Add-ons Андреас Вагнер отметил, что за последние годы компания обнаружила «сотни» мошеннических криптокошельков. «Это постоянная игра в кошки-мышки», - сказал Вагнер, поскольку разработчики вредоносного ПО пытаются «обойти наши методы обнаружения».
Decrypt связался с Mozilla и обновит эту статью, если они ответят.
Чтобы не стать жертвой FoxyWallet или подобных мошенников, пользователям рекомендуется загружать и устанавливать расширения только от проверенных издателей, относиться к расширениям как к полноценному программному обеспечению, использовать список разрешенных расширений, чтобы ограничить установку только предварительно одобренными, проверенными расширениями, и осуществлять постоянный мониторинг, а не просто одноразовое сканирование.
Более 40 вредоносных расширений выдавали себя за настоящие криптовалютные кошельки в магазине дополнений Firefox в рамках кампании по распространению вредоносного ПО «FoxyWallet».
Среди кошельков, за которые выдавали себя вредоносные расширения, - Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero, сообщает Koi Security.
Создатель Firefox компания Mozilla в своем недавнем блоге заявила, что ведет «постоянную игру в кошки-мышки» с разработчиками вредоносного ПО, стремящимися обойти ее методы обнаружения.