Dziesiątki fałszywych dodatków do portfeli zalewają sklep z dodatkami dla Firefoxa

Niektóre złośliwe rozszerzenia udają portfele Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr i MyMonero. Zawierają złośliwy kod, który wysyła skradzione informacje na serwery kontrolowane przez atakujących. Wiele z tych dodatków do przeglądarek to klony wersji open source legalnych portfeli, wzbogacone o złośliwą logikę.

Przestępcy prowadzą skoordynowaną kampanię

Badacze Koi Security informują , że od kwietnia tego roku trwa skoordynowana kampania, w ramach której publikowane są fałszywe wersje popularnych portfeli kryptowalutowych dla przeglądarki Firefox. Kopiowane nazwy i loga, fałszywe recenzje i zwykłe spamerskie bzdury są używane do podszywania się pod prawdziwe wersje portfeli kryptowalut. Chociaż Mozilla ma zautomatyzowane systemy, które mają zapobiec przedostawaniu się złośliwych rozszerzeń do repozytorium, wydają się być przeciążone, dlatego w repozytorium tylko w tym tygodniu pojawiło się co najmniej 40 podróbek. Na szczęście większość została usunięta.

Koi Security przedstawia w kodzie przykłady takich szkodników dla Firefoxa – “nasłuchiwaczy” zdarzeń „input” i „click”, które monitorują wrażliwe dane wprowadzane przez ofiarę. Kod sprawdza, czy ciągi wejściowe są dłuższe niż 30 znaków, aby odfiltrować realistyczne klucze portfela/frazy początkowe, a następnie przekazuje dane atakującym. Okna dialogowe błędów są ukryte przed użytkownikiem poprzez ustawienie krycia na “zero” dla wszystkich elementów, które mogłyby powiadomić użytkownika o aktywności. Frazy początkowe (frazy odzyskiwania/mnemotechniczne) to klucze główne, zazwyczaj składające się z wielu słów, umożliwiające użytkownikom odzyskiwanie portfeli lub przenoszenie ich na nowe urządzenia. Uzyskanie czyjejś frazy seed umożliwia kradzież wszystkich aktywów kryptowalutowych w portfelu. Kradzież wygląda jak legalna transakcja i jest nieodwracalna.

Czytaj też: Firefox 140 już dostępny dla użytkowników. Pionowe karty to dopiero początek nowości

Choć szał na kryptowaluty i NFT ustał już wiele miesięcy temu, Bitcoin i jego liczne alternatywy wciąż kuszą potencjalnymi miliardami dolarów. A dlaczego akurat przeglądarka Firefox trafiła na celownik? W tej chwili trudno powiedzieć – być może cyberprzestępcy odnaleźli w niej większe możliwości. Tak czy owak – jeśli potrzebujesz dodatku związanego z krypto, zanim go zainstalujesz sprawdź, co piszą o nim eksperci ds bezpieczeństwa,