Согласно отчету компании Koi Security, более 40 вредоносных расширений для браузера Mozilla Firefox связаны с активной кампанией по кражам криптовалют. Эти расширения маскируются под инструменты управления криптовалютами.
Масштабная кампания по фишингу
Кампания, активная с апреля текущего года, использует расширения, подражающие таким известным кошелькам, как Coinbase, MetaMask и другим. Установленные расширения предназначены для кражи учетных данных пользователей. "На данный момент мы смогли связать более 40 различных расширений с этой кампанией, которая все еще продолжается и активно работает", - сообщила компания.
Обман через дизайн
Кампания использует фальшивые отзывы и оценки, чтобы завоевать доверие пользователей. Одно из приложений имело сотни фальшивых отзывов с пятью звездами. Эти расширения также использовали идентичные имена и логотипы реальных сервисов, а в некоторых случаях копировали открытый код официальных расширений, добавляя вредоносный код. "Этот низкотехнологичный, но высокоэффективный подход позволил сохранить ожидаемый пользовательский опыт, снижая вероятность немедленного обнаружения."
Предполагаемая связь с русскоязычными хакерами
Koi Security отмечает, что связь с конкретной группой хакеров остается предварительной, однако существуют множественные признаки, указывающие на русскоязычную угрозу. Эти признаки включают комментарии на русском языке в коде и метаданные, найденные в PDF-файле на сервере управления вредоносными программами. "Хотя это не является окончательным доказательством, эти артефакты указывают на то, что кампания может происходить от группы русскоязычных хакеров."
Специалисты призывают пользователей устанавливать расширения только от проверенных разработчиков и внимательно следить за поведением расширений, чтобы снизить риск кражи криптовалют.
