Gli attori delle minacce hanno impiegato circa 150 estensioni di Firefox dannose per rubare le credenziali del portafoglio di criptovaluta, risultando in circa un milione di dollari rubati dalle vittime. Questo schema, identificato come “Greedbear” da Koi Security, gestita impersonando le estensioni del portafoglio di criptovaluta legittime all’interno del negozio di componenti aggiuntivi Firefox.
Le estensioni dannose inizialmente sono apparse come strumenti di portafoglio di criptovaluta benigni. Gli aggressori hanno caricato queste estensioni con il marchio coerente con piattaforme consolidate, tra cui Metamask, Tronlink e Rabby. Queste versioni iniziali hanno anche accumulato recensioni positive fabbricate per migliorare la loro legittimità percepita. Successivamente, gli aggressori hanno modificato queste estensioni modificando nomi e loghi, quindi hanno iniettato un codice dannoso. Questa trasformazione ha convertito le estensioni in keylogger.
Le estensioni compromesse sono state progettate per acquisire input di campo di modulo immessi dagli utenti. Inoltre, queste estensioni dannose hanno registrato gli indirizzi IP esterni delle vittime. Le informazioni raccolte da questi keylogger sono state successivamente trasmesse ai server controllati dagli aggressori. Da allora Mozilla ha rimosso il malware identificato dallo Store di componenti aggiuntivi Firefox, come riportato dal Bleeping Computer.
I ricercatori hanno anche identificato una potenziale espansione della campagna Greedybear nel Web store di Chrome. Questa possibile espansione è collegata a un’estensione denominata FileCoin Wallet. Si consiglia agli utenti di prestare attenzione prima di installare le estensioni del browser. Le precauzioni consigliate includono la revisione dei commenti degli utenti oltre le valutazioni delle stelle, l’esame della cronologia della versione dell’estensione e lo studio di altri progetti associati allo sviluppatore per qualsiasi attività sospetta.
Per le estensioni del portafoglio di criptovaluta in particolare, un metodo più sicuro rispetto alla ricerca direttamente nei negozi aggiuntivi del browser prevede la navigazione sul sito ufficiale del progetto di criptovaluta. Le estensioni legittime sono in genere collegate direttamente da questi siti Web ufficiali di progetto, fornendo una fonte verificata per l’installazione.
