Более 40 поддельных расширений в официальном магазине дополнений Firefox выдают себя за популярные криптовалютные кошельки от доверенных поставщиков, чтобы красть учетные данные кошельков и конфиденциальные данные.
Некоторые расширения выдают себя за кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero и содержат вредоносный код, который отправляет украденную информацию на контролируемые злоумышленниками серверы.
Поддельные расширения кошелька в магазине дополнений Firefox
Источник: BleepingComputer
Исследователи из Koi Security обнаружили опасные расширения, а также доказательства, указывающие на то, что за кампанией стоит русскоязычная группа кибермошенников.
В , предоставленном BleepingComputer, исследователи утверждают, что многие из этих надстроек для браузера являются клонами версий легитимных кошельков с открытым исходным кодом с добавленной вредоносной логикой.
Koi Security представляет примеры прослушивателей событий «ввода» и «щелчка» в коде, которые отслеживают ввод конфиденциальных данных жертвой.
Вредоносные фрагменты кода в расширениях
Источник: Koi Security
Код проверяет входные строки, длина которых превышает 30 символов, чтобы отфильтровать реалистичные ключи кошелька/семенные фразы, а затем передает данные злоумышленникам.
Диалоги с сообщениями об ошибках скрыты от пользователя путем установки нулевой непрозрачности для любых элементов, которые могут предупредить пользователя об активности.
Начальные фразы (фразы восстановления/мнемонические фразы) — это главные ключи, обычно состоящие из нескольких слов, позволяющие пользователям восстанавливать или переносить кошельки на новые устройства.
Получение чьей-либо seed-фразы позволяет украсть все криптовалютные активы в кошельке. Кража выглядит как законная транзакция и является необратимой.
Кампания активна по крайней мере с апреля, и новые расширения, похоже, постоянно добавляются в магазин Firefox. Исследователи говорят, что самые новые вредоносные записи датируются прошлой неделей.
Чтобы завоевать доверие, злоумышленники используют настоящие логотипы брендов, за которые они себя выдают, в то время как многие расширения имеют сотни поддельных пятизвездочных отзывов. Некоторые из них также имеют большое количество однозвездочных отзывов, сообщающих о мошенничестве, вероятно, от пользователей, которые потеряли свою криптовалюту.
Поддельные расширения Metamask в магазине Firefox
Источник: BleepingComputer
Хотя большинство отзывов пользователей явно поддельные (они намного превышают количество установок), многие пользователи, не обращающие внимания на детали, все равно могут поддаться обману и установить их, рискуя тем самым украсть свои исходные фразы.
Mozilla разработала . Она опирается на автоматизированные индикаторы для оценки уровня риска. Если порог достигнут, рецензенты-люди анализируют отправку и блокируют ее, если она вредоносная.
Компания Koi Security сообщила BleepingComputer, что они сообщили о результатах в магазин Firefox, используя официальный инструмент отчетности, однако на момент написания статьи поддельные расширения по-прежнему были доступны.
BleepingComputer обратился к Mozilla за комментарием по этому вопросу, однако заявление пока не было опубликовано.
Некоторые расширения выдают себя за кошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero и содержат вредоносный код, который отправляет украденную информацию на контролируемые злоумышленниками серверы.
Источник: BleepingComputer
Исследователи из Koi Security обнаружили опасные расширения, а также доказательства, указывающие на то, что за кампанией стоит русскоязычная группа кибермошенников.
В , предоставленном BleepingComputer, исследователи утверждают, что многие из этих надстроек для браузера являются клонами версий легитимных кошельков с открытым исходным кодом с добавленной вредоносной логикой.
Koi Security представляет примеры прослушивателей событий «ввода» и «щелчка» в коде, которые отслеживают ввод конфиденциальных данных жертвой.
Источник: Koi Security
Код проверяет входные строки, длина которых превышает 30 символов, чтобы отфильтровать реалистичные ключи кошелька/семенные фразы, а затем передает данные злоумышленникам.
Диалоги с сообщениями об ошибках скрыты от пользователя путем установки нулевой непрозрачности для любых элементов, которые могут предупредить пользователя об активности.
Начальные фразы (фразы восстановления/мнемонические фразы) — это главные ключи, обычно состоящие из нескольких слов, позволяющие пользователям восстанавливать или переносить кошельки на новые устройства.
Получение чьей-либо seed-фразы позволяет украсть все криптовалютные активы в кошельке. Кража выглядит как законная транзакция и является необратимой.
Кампания активна по крайней мере с апреля, и новые расширения, похоже, постоянно добавляются в магазин Firefox. Исследователи говорят, что самые новые вредоносные записи датируются прошлой неделей.
Чтобы завоевать доверие, злоумышленники используют настоящие логотипы брендов, за которые они себя выдают, в то время как многие расширения имеют сотни поддельных пятизвездочных отзывов. Некоторые из них также имеют большое количество однозвездочных отзывов, сообщающих о мошенничестве, вероятно, от пользователей, которые потеряли свою криптовалюту.
Источник: BleepingComputer
Хотя большинство отзывов пользователей явно поддельные (они намного превышают количество установок), многие пользователи, не обращающие внимания на детали, все равно могут поддаться обману и установить их, рискуя тем самым украсть свои исходные фразы.
Mozilla разработала . Она опирается на автоматизированные индикаторы для оценки уровня риска. Если порог достигнут, рецензенты-люди анализируют отправку и блокируют ее, если она вредоносная.
Компания Koi Security сообщила BleepingComputer, что они сообщили о результатах в магазин Firefox, используя официальный инструмент отчетности, однако на момент написания статьи поддельные расширения по-прежнему были доступны.
BleepingComputer обратился к Mozilla за комментарием по этому вопросу, однако заявление пока не было опубликовано.
