Niedawna kampania, nazwana „Greedybear”, wykorzystała około 150 złośliwych przedłużeń Firefox, aby ukraść około miliona dolarów od właścicieli portfeli kryptowalut. Program, odkryty przez KOI Security, obejmował podszycie się pod względem zagrożeń podszywających się pod prawnie przedłużenia portfela kryptowalut w sklepie z dodatkami Firefox.
Od tego czasu Mozilla usunęła zidentyfikowane złośliwe oprogramowanie. Jednak naukowcy sugerują, że napastnicy mogą szybko rozpocząć podobne kampanie, z potencjalnym rozszerzeniem „Greedybear” zidentyfikowanego w Chrome Web Store za pośrednictwem rozszerzenia o nazwie portfel Filecoin.
Złośliwe przedłużenia początkowo wydawały się łagodne. Aktorzy zagrożeni przesłali pozornie nieszkodliwe przedłużenia portfela kryptograficznego z brandingiem, które naśladowały popularne platformy, takie jak Metamask, Tronlink i Rabby. Następnie zgromadzili fałszywe pozytywne recenzje, aby budować zaufanie. Następnie atakujący zastąpili nazwy i logo i wstrzyknięci złośliwy kod, przekształcając te rozszerzenia w keyloggery. Te zagrożone rozszerzenia były w stanie uchwycić dane wejściowe pola formy i zewnętrzne adresy IP ofiar, przesyłając te wrażliwe dane na serwery atakujących.
Aby zabezpieczyć przed takimi zagrożeniami, użytkownikom zależy od ślepo ufnych rozszerzeń znalezionych w oficjalnych sklepach dodatkowych. Przed zainstalowaniem nowego rozszerzenia kluczowe jest dokładne przeczytanie recenzji użytkowników poza jedynie gwiazdami, zbadanie historii wersji i zbadania innych projektów programisty pod kątem podejrzanych działań. W szczególności w portfelach kryptowalut, bezpieczniejszą praktyką jest nawigacja bezpośrednio na oficjalną stronę internetową projektu, która zapewni link do legalnego rozszerzenia.
Source: Jak 150 fałszywych przedłużeń Firefox ukradło 1 mln USD w kryptowalucie
