Якщо у вас є Крипто і ви користуєтеся Firefox, Хакери націлені на вас

Компанія з кібербезпеки Koi Security виявила масштабну шкідливу кампанію, що націлена на користувачів криптовалюти через підроблені розширення для Firefox.

Кампанія включає більш ніж 40 розширень, які імітують широко використовувані інструменти криптовалютних гаманців.

Це включає Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet та Filfox. Після встановлення ці ці розширення безшумно крадуть облікові дані гаманця та передають їх на сервери, контрольовані зловмисниками, ставлячи активи користувачів під негайний ризик.

Крипто користувачі під ризиком

У своєму останньому пості Koi Security повідомила, що кампанія активна щонайменше з квітня 2025 року. Насправді, нові шахрайські завантаження з'явилися в магазині Mozilla Add-ons лише на минулому тижні, що свідчить про те, що операція триває, адаптується і є постійною.

Ці розширення передають зовнішні IP-адреси жертв під час ініціалізації, ймовірно, для відстеження або націлювання, витягуючи секрети гаманців безпосередньо з цільових сайтів. Копіюючи рейтинги, відгуки та брендинг, зловмисники роблять свої розширення виглядати надійними, що в кінцевому підсумку призводить до того, що більше користувачів завантажують їх.

Багато з фальшивих розширень мали сотні підроблених позитивних відгуків, які перевищували їхню фактичну базу користувачів, що дозволило їм виглядати широко прийнятими та авторитетними в екосистемі доповнень Mozilla.

У декількох випадках було виявлено, що зловмисники клонували реальні розширення гаманців з відкритим кодом і вбудовували шкідливу логіку, при цьому зберігаючи очікувану функціональність. Це було зроблено для уникнення виявлення та забезпечення безперебійного користувацького досвіду, тактика, яка дозволила продовжувати викрадення облікових даних без підозр.

Розслідування Koi Security відстежило спільну інфраструктуру кампанії та тактики, техніки та процедури (TTPs) через розширення і виявило скоординовану операцію, зосереджену на зборі облікових даних та відстеженні користувачів у криптоекосистемі. Було закликано користувачів Firefox терміново переглянути встановлені розширення, видалити підозрілі інструменти та змінити облікові дані гаманця, де це можливо.

Компанія також повідомила, що активно співпрацює з Mozilla для видалення виявлених шкідливих розширень і моніторингу подальших завантажень, пов'язаних з цією кампанією.

Російські підказки в коді кампанії

Докази свідчать про те, що загрозлива група, що говорить російською, може бути за цією кампанією. Koi Security стверджує, що знайшла російськомовні нотатки, приховані в коді розширення та метаданих з PDF на контрольному сервері, що показує російський текст.

Ці підказки не є остаточним доказом, але вказують на можливого російськомовного актора, який здійснює операцію.

Останній звіт з'являється через кілька місяців після виявлення потенційної фішингової схеми, пов'язаної з Росією, яка використовувала фальшиві посилання на зустрічі Zoom для викрадення мільйонів, виявленої компанією SlowMist. Компанія з безпеки блокчейну відстежила активність шкідливого програмного забезпечення до сервера в Нідерландах, але виявила російськомовні скрипти в інструментах нападників, що вказувало на можливих російськомовних оперативників. Нападники вичерпали гаманці та конвертували вкрадені активи в ETH на основних біржах.