- Oltre 40 false estensioni di Firefox impersonano popolari wallet di criptovalute per rubare i dati degli utenti.
- La campagna utilizza false identità visive e recensioni per far sembrare le app legittime.
- Secondo gli analisti, l'attacco è ancora in corso e potrebbe essere provvisoriamente collegato a un gruppo di lingua russa.
- Raccomandazioni chiave: installare solo estensioni verificate e monitorare eventuali comportamenti anomali.
Nelle ultime settimane è venuta alla luce una campagna di attacchi informatici che colpisce direttamente Utenti di criptovalute che si affidano al browser FirefoxL'attacco è caratterizzato dall'impiego di estensioni dannose che, camuffate da portafogli digitali attendibili, cercano di catturare le credenziali di accesso degli utenti Internet e di prosciugare i loro fondi a loro insaputa.
Le aziende specializzate in sicurezza informatica come Koi Security hanno lanciato l’allarme in seguito rileva più di 40 estensioni fraudolente distribuito nello store ufficiale di FirefoxTutti imitavano l'aspetto e il nome di note applicazioni di criptovaluta, come Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX e MyMonero, tra gli altri, riuscendo così ad ingannare gli utenti ignari attraverso loghi identici e recensioni a cinque stelle generate artificialmente.
Come funzionano le estensioni dannose in Firefox
Il modus operandi di questa campagna è particolarmente pericoloso a causa della sua capacità di emulare l'esperienza utente legittimaI criminali informatici hanno sfruttato il codice open source di wallet legittimi, clonandone la struttura e aggiungendo frammenti di codice progettati per raccogliere informazioni sensibili, come frasi seed e chiavi private.
Una volta installata l'estensione, per l'utente è praticamente impossibile distinguere una versione originale da una modificata. Le informazioni rubate vengono inviate direttamente ai server remoti sotto il controllo degli aggressori, che possono quindi procedere allo svuotamento rapido dei portafogli.
La campagna, attiva da aprile e ancora in corso secondo i ricercatori, non solo utilizza identità visive e nomi copiati dagli originali, ma gonfia artificialmente le recensioni positive per generare fiducia e aumentare così il numero delle vittime.
Gli indizi puntano ad un gruppo di lingua russa
Il lavoro di tracciamento svolto da Koi Security ha rilevato vari elementi russi incorporati nei file delle estensioni e dei documenti interni rinvenuti sui server utilizzati per il furto di dati. Sebbene l'attribuzione non sia definitiva, Diversi indizi suggeriscono che l'attacco sia stato orchestrato da un gruppo o attore minaccioso legato alla Russia..
Analisi dei metadati nei file recuperati, insieme ai commenti russi nel codice delle applicazioni fraudolente, Gli esperti sostengono che l'operazione potrebbe essere coordinata da non semplici truffatori dilettanti., il che aumenta la complessità e la pericolosità dell'incidente.
Rischi per gli utenti: perché queste estensioni hanno funzionato
Il grande successo della campagna risiede nell' uso di strategie di manipolazione della fiducia: Non solo replicano nomi e loghi, ma sfruttano anche le opzioni di recensione e valutazione del Firefox Store per legittimare i loro prodotti contraffatti. Poiché la maggior parte dei wallet interessati è open source, gli aggressori hanno avuto facile accesso per clonare funzioni visibili e aggiungere codice dannoso senza destare sospetti immediati.
Questo approccio ha permesso a molti utenti di Internet, sicuri dell'aspetto e delle valutazioni, Installa questi plugin senza esitazione, che ha facilitato l'esfiltrazione in massa di dati sensibili.
Raccomandazioni per ridurre al minimo l'impatto delle estensioni dannose
Data l'entità e la persistenza dell'attacco, gli specialisti consigliano di adottare precauzioni estreme durante l'installazione delle estensioni, optando solo per quelli pubblicati da sviluppatori verificati e rivedere periodicamente le applicazioni installate nel browser.
Alcuni suggerimenti essenziali sono:
- Verificare sempre l'identità e la reputazione dello sviluppatore prima di installare qualsiasi estensione.
- Diffidare delle valutazioni eccessivamente positive o ripetitive che potrebbero essere stati manipolati.
- Prestare attenzione alle richieste di permesso insolite o cambiamenti inaspettati nel comportamento dell'estensione.
- Rimuovere immediatamente eventuali estensioni sospette o che non è stato installato dall'utente stesso.
Da Si raccomanda inoltre a Koi Security di trattare le estensioni con la stessa cautela di qualsiasi altro programma, utilizzando whitelist e monitorando attentamente qualsiasi comportamento insolito, nonché installando aggiornamenti solo da fonti ufficiali.
Questo incidente evidenzia l'importanza di applicare buone pratiche di sicurezza informatica nell'ambiente delle criptovalute e nella gestione degli strumenti digitali. Vigilanza, protezione attiva e aggiornamento costante sono essenziali per non cadere vittima di questi attacchi..
Sono un appassionato di tecnologia che ha trasformato i suoi interessi "geek" in una professione. Ho trascorso più di 10 anni della mia vita utilizzando tecnologie all'avanguardia e armeggiando con tutti i tipi di programmi per pura curiosità. Ora mi sono specializzato in informatica e videogiochi. Questo perché da più di 5 anni scrivo per vari siti web di tecnologia e videogiochi, creando articoli che cercano di darti le informazioni di cui hai bisogno in un linguaggio comprensibile a tutti.
In caso di domande, le mie conoscenze spaziano da tutto ciò che riguarda il sistema operativo Windows e Android per telefoni cellulari. E il mio impegno è nei tuoi confronti, sono sempre disposto a dedicare qualche minuto e aiutarti a risolvere qualsiasi domanda tu possa avere in questo mondo di Internet.