- Ponad 40 fałszywych rozszerzeń przeglądarki Firefox podszywa się pod popularne portfele kryptowalut, aby kraść dane użytkowników.
- Kampania wykorzystuje fałszywe tożsamości wizualne i recenzje, aby aplikacje wydawały się autentyczne.
- Analitycy twierdzą, że atak wciąż trwa i wstępnie można go powiązać z grupą rosyjskojęzyczną.
- Najważniejsze zalecenia: instaluj wyłącznie sprawdzone rozszerzenia i monitoruj je pod kątem nieprawidłowego zachowania.
W ostatnich tygodniach ujawniono kampanię cyberataków, która bezpośrednio dotyka Użytkownicy kryptowalut korzystający z przeglądarki FirefoxAtak ten polega na wdrażaniu złośliwych rozszerzeń, które podszywają się pod zaufane portfele cyfrowe i próbują przechwycić dane logowania użytkowników Internetu oraz wykraść ich środki bez ich wiedzy.
Firmy specjalizujące się w cyberbezpieczeństwie, takie jak Koi Security, biją na alarm po wykryj ponad 40 fałszywych rozszerzeń dystrybuowane w oficjalnym sklepie FirefoxWszystkie naśladowały wygląd i nazwę znanych aplikacji kryptowalutowych, takich jak Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX i MyMonero, między innymi, w ten sposób oszukując nieświadomych użytkowników identyczne loga i sztucznie generowane pięciogwiazdkowe recenzje.
Jak działają złośliwe rozszerzenia w przeglądarce Firefox
Sposób działania tej kampanii jest szczególnie niebezpieczny ze względu na: możliwość emulacji prawdziwego doświadczenia użytkownikaCyberprzestępcy wykorzystują otwarty kod źródłowy legalnych portfeli, klonując ich strukturę i dodając fragmenty kodu mające na celu zbieranie poufnych informacji, takich jak frazy początkowe i klucze prywatne.
Po zainstalowaniu rozszerzenia użytkownik praktycznie nie będzie w stanie odróżnić wersji oryginalnej od zmodyfikowanej. Skradzione informacje są wysyłane bezpośrednio na zdalne serwery pod kontrolą atakujących, którzy mogą następnie szybko opróżnić portfele.
Kampania, która trwa od kwietnia nadal trwa, według badaczy, nie tylko wykorzystuje identyfikację wizualną i nazwy skopiowane z oryginałów, ale także sztucznie zawyża pozytywne recenzje aby zbudować zaufanie i w ten sposób zwiększyć liczbę swoich ofiar.
Wskazania wskazują na grupę rosyjskojęzyczną
Prace śledzące przeprowadzone przez Koi Security wykryły różne rosyjskie elementy osadzone w plikach rozszerzeń i wewnętrznych dokumentów znalezionych na serwerach używanych do kradzieży danych. Chociaż przypisanie nie jest ostateczne, Wiele przesłanek wskazuje na to, że za atakiem stoi grupa lub podmiot powiązany z Rosją..
Analizując metadane w odzyskanych plikach, a także rosyjskie komentarze w kodzie fałszywych aplikacji, Eksperci twierdzą, że za operacją mogą stać nie tylko oszuści-amatorzy., co zwiększa stopień skomplikowania i niebezpieczeństwo incydentu.
Zagrożenia dla użytkowników: Dlaczego te rozszerzenia działają
Ogromny sukces kampanii polega na tym, że wykorzystanie strategii manipulacji zaufaniem: Nie tylko powielają nazwy i loga, ale także wykorzystują opcje recenzji i ocen sklepu Firefox Store, aby zalegalizować swoje podrobione produkty. Ponieważ większość dotkniętych portfeli jest open source, atakujący mieli łatwy dostęp do klonowania widocznych funkcji i dodawania złośliwego kodu bez wzbudzania natychmiastowego podejrzenia.
Takie podejście pozwoliło wielu użytkownikom Internetu, ufającym swojemu wyglądowi i ocenom, Zainstaluj te wtyczki bez wahania, co ułatwiło masową eksfiltrację poufnych danych.
Zalecenia mające na celu zminimalizowanie wpływu złośliwych rozszerzeń
Biorąc pod uwagę skalę i uporczywość ataku, specjaliści zalecają zachowanie szczególnej ostrożności podczas instalowania rozszerzeń, wybierając tylko te opublikowane przez zweryfikowanych programistów i okresowo przeglądając aplikacje zainstalowane w przeglądarce.
Oto kilka podstawowych wskazówek:
- Zawsze sprawdzaj tożsamość i reputację dewelopera przed zainstalowaniem jakiegokolwiek rozszerzenia.
- Zachowaj podejrzliwość w stosunku do ocen zbyt pozytywnych lub powtarzających się które mogły zostać zmanipulowane.
- Zachowaj czujność w przypadku nietypowych próśb o pozwolenie lub nieoczekiwanych zmian w zachowaniu rozszerzenia.
- Natychmiast usuń wszelkie podejrzane rozszerzenia lub który nie został zainstalowany przez samego użytkownika.
z Firma Koi Security zaleca również traktowanie rozszerzeń z taką samą ostrożnością, jak w przypadku każdego innego programu, korzystając z białych list i uważnie monitorując wszelkie nietypowe zachowania, a także instalując aktualizacje wyłącznie z oficjalnych źródeł.
Incydent ten podkreśla, jak ważne jest stosowanie dobrych praktyk cyberbezpieczeństwa w środowisku kryptowalutowym i zarządzaniu narzędziami cyfrowymi. Aby nie paść ofiarą tych ataków, konieczna jest czujność, aktywna ochrona i stała aktualizacja wiedzy..
Jestem entuzjastą technologii, który swoje „geekowskie” zainteresowania przekształcił w zawód. Spędziłem ponad 10 lat mojego życia, korzystając z najnowocześniejszych technologii i majsterkując przy wszelkiego rodzaju programach z czystej ciekawości. Teraz specjalizuję się w technologii komputerowej i grach wideo. Dzieje się tak dlatego, że od ponad 5 lat piszę dla różnych serwisów poświęconych technologii i grom wideo, tworząc artykuły, których celem jest dostarczenie potrzebnych informacji w języku zrozumiałym dla każdego.
Jeśli masz jakieś pytania, moja wiedza obejmuje wszystko, co jest związane z systemem operacyjnym Windows, a także Androidem dla telefonów komórkowych. Moje zaangażowanie jest wobec Ciebie. Zawsze jestem gotowy poświęcić kilka minut i pomóc Ci rozwiązać wszelkie pytania, jakie możesz mieć w tym internetowym świecie.