Потребителите на Firefox трябва да бъдат особено внимателни. Открити са стотици злонамерени добавки за браузъра, които крадат криптовалута, предупредиха специалисти по киберсигурност.
Наскоро изследователи от Koi Security идентифицираха 150 добавки в магазина на Mozilla, които служат като крадци на информация и кейлогъри. Нападалите прилагат хитра схема, за да измамят потребителите на браузъра.
Първоначално добавките се представят като полезни инструменти от рода на популярни крипто-портфейли като MetaMask, TronLink или Rabby, но след като натрупат достатъчно изтегляния и положителни отзиви, нападателите ги заменят с нови имена и лога и инжектират злонамерен код, който краде идентификационни данни за портфейла на потребителя и IP адреси.
Добавките улавят идентификационните данни за портфейла директно от полетата за въвеждане на потребителя в собствения изскачащ интерфейс на разширението и ги извличат към отдалечен сървър, контролиран от нападателите, пояснява Koi Security.
„По време на инициализацията те предават и външния IP адрес на жертвата, вероятно с цел проследяване или насочване”, допълват от компанията за киберсигурност.
Зловредният код е бил частично генериран с помощта на изкуствен интелект, твърдят експертите, наричайки кампанията „GreedyBear”. Според изследването, тя вече е донесла над милион долара на нападателите.
„Мечката” в името може да е препратка към Русия, тъй като операцията очевидно се допълва от десетки пиратски софтуерни уебсайтове, разпространяващи 500 варианта на зловреден софтуер, както и фалшиви Trezor, Jupiter Wallet и други крипто уебсайтове. Всички те са написани на руски език.
Зловредният софтуер, разпространяван чрез уебсайта, е общ, уточняват изследователите. LummaStealer се откроява като по-забележително име. Всички сайтове са свързани с един и същ IP адрес, което означава, че една организация управлява цялата операция.
Koi Security е докладвала своите открития на Mozilla, която бързо премахна всички злонамерени добавки от своето хранилище. Но потребителите, които вече са ги изтеглили, ще останат изложени на риск, докато не изтрият добавките от браузърите си и не актуализират всички данни за вход.
