Eğer Kripto'nuz varsa ve Firefox kullanıyorsanız, Hacker'lar sizi hedef alıyor.

Siber güvenlik firması Koi Security, kripto para kullanıcılarını sahte Firefox uzantıları aracılığıyla hedef alan büyük ölçekli bir kötü niyetli kampanyayı ortaya çıkardı.

Kampanya, yaygın olarak kullanılan kripto cüzdan araçlarını taklit eden 40'tan fazla uzantıyı içeriyor.

Bu, Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet ve Filfox'u içerir. Yükledikten sonra, bu uzantılar sessizce cüzdan kimlik bilgilerini çalar ve bunları saldırgan kontrolündeki sunuculara aktarır, kullanıcı varlıklarını hemen riske atar.

Kripto Kullanıcıları Riskte

Koi Security, en son gönderisinde, kampanyanın en az Nisan 2025'ten beri aktif olduğunu açıkladı. Aslında, geçen hafta Mozilla Eklentileri mağazasında yeni sahte yüklemeler ortaya çıktı ve bu da operasyonun devam ettiğini, uyum sağladığını ve kalıcı olduğunu gösterdi.

Bu uzantılar, muhtemelen izleme veya hedefleme amacıyla, kurulum sırasında kurbanların dış IP adreslerini iletirken, hedeflenen sitelerden cüzdan sırlarını doğrudan çıkarmaktadır. Derecelendirmeleri, yorumları ve markaları kopyalayarak, saldırganlar uzantılarını güvenilir gösterir, bu da daha fazla kullanıcının bunları indirmesine yol açar.

Sahte uzantıların birçoğu, gerçek kullanıcı tabanlarını aşan yüzlerce sahte olumlu inceleme taşıyordu; bu da onların Mozilla Eklentileri ekosisteminde yaygın olarak benimsenmiş ve saygın görünmelerini sağlıyordu.

Bazı durumlarda, saldırganların gerçek açık kaynaklı cüzdan uzantılarını klonladığı ve beklenen işlevselliği korurken kötü niyetli mantık eklediği tespit edildi. Bu, tespitten kaçınmak ve kesintisiz bir kullanıcı deneyimi sağlamak için yapıldı; bu taktik, şüphe uyandırmadan sürekli kimlik bilgisi çalınmasına olanak tanıdı.

Koi Security'nin araştırması, kampanyanın paylaşılan altyapısını ve taktiklerini, tekniklerini ve prosedürlerini (TTPs) uzantılar boyunca izledi ve kripto ekosisteminde kimlik bilgisi toplama ve kullanıcı takibi üzerine odaklanmış koordine bir operasyon ortaya çıkardı. Firefox kullanıcılarını hemen yüklü uzantıları gözden geçirmeye, şüpheli araçları kaldırmaya ve mümkünse cüzdan kimlik bilgilerini değiştirmeye çağırdı.

Firma ayrıca, belirlenen kötü niyetli uzantıları kaldırmak ve bu kampanyayla bağlantılı daha fazla yükleme için izleme yapmak amacıyla Mozilla ile aktif olarak işbirliği yaptığını söyledi.

Kampanya Kodunda Rus İpuçları

Kanıtlar, Rusça konuşan bir tehdit grubunun kampanyanın arkasında olabileceğini öne sürüyor. Koi Security, uzantının kodunda ve bir kontrol sunucusundaki bir PDF'nin meta verilerinde gizlenmiş Rusça notlar bulduğunu iddia etti.

Bu ipuçları nihai bir kanıt değildir, ancak operasyonu yürüten muhtemel bir Rusça aktöre işaret ediyor.

Son rapor, sahte Zoom toplantı bağlantılarını kullanarak milyonlarca doları çalmaya yönelik potansiyel bir Rus bağlantılı kripto phishing dolandırıcılığının SlowMist tarafından tespit edilmesinin üzerinden aylar geçtikten sonra ortaya çıktı. Blockchain güvenlik firması, kötü amaçlı yazılımın faaliyetlerini Hollanda'daki bir sunucuya izledi, ancak saldırganların araçlarında Rusça betikler buldu; bu da muhtemel Rusça konuşan operatiflerin varlığını gösterdi. Saldırganlar cüzdanları boşalttı ve çalınan varlıkları büyük borsalarda ETH'ye dönüştürdü.