‘Greedybear’ olarak adlandırılan kötü niyetli bir kampanya, Mozilla eklentileri mağazasına gizlendi ve Firefox kullanıcılarını 150 kötü niyetli uzantıyla hedef aldı ve şüphesiz kurbanlardan tahmini 1.000.000 dolar çaldı.
KOI Security tarafından keşfedilen ve belgelenen kampanya, Metamask, Tronlink ve Rabby gibi bilinen platformlardan kripto para birimi cüzdan uzantılarını taklit ediyor.
Bu uzantılar, Firefox tarafından kabul edilmek ve sahte olumlu incelemeler biriktirmek için başlangıçta iyi huylu bir formda yüklenir.
Daha sonraki bir aşamada, yayıncılar orijinal markayı çıkarır ve yeni isimler ve logolarla değiştirirken, kullanıcıların cüzdan kimlik bilgilerini ve IP adreslerini çalmak için kötü amaçlı kod enjekte eder.

Kaynak: KOI Güvenliği
Kötü amaçlı kod, form alanlarından veya görüntülenen açılır pencerelerden girdi yakalayan bir keylogger görevi görür ve bunlar daha sonra saldırganın sunucusuna gönderilir.
Koi Security’nin Tuval Admoni’sini açıklıyor “Silahlı uzantılar cüzdan kimlik bilgilerini doğrudan uzantının kendi açılır arayüzündeki kullanıcı giriş alanlarından yakalar ve bunları grup tarafından kontrol edilen uzak bir sunucuya ekleyin.”
Diyerek şöyle devam etti: “Başlatma sırasında, kurbanın harici IP adresini, muhtemelen izleme veya hedefleme amacıyla iletirler.”
Kripto drene operasyonu, 500 farklı kötü amaçlı yazılım yürütülebilir ürünlerin dağıtılmasını kolaylaştıran düzinelerce Rusça konuşan korsan yazılım web sitesi ve ayrıca Trezor, Jüpiter Cüzdan ve sahte cüzdan onarım hizmetlerini taklit eden bir web sitesi ağı ile tamamlanmaktadır.
Kötü amaçlı yazılım vakalarında, yükler jenerik truva atları, bilgi-süitçiler (Lummastealer) ve hatta fidye yazılımı içerir.
Bu sitelerin tümü, açgözlülük işlemi için bir komut ve kontrol (C2) merkezi görevi gören aynı IP adresi olan 185.208.156.66 ile bağlantılıdır.

Kaynak: KOI Güvenliği
KOI Security, bulgularını Mozilla’ya bildirdi ve rahatsız edici uzantılar Firefox’un eklentileri mağazasından kaldırıldı.
Bununla birlikte, geniş ölçekli ve yürütmede belirgin kolaylığı, AI’nın siber suçluların büyük ölçekli şemalar yaratmasına ve toplam yayından kaldırmalardan hızla iyileşmesine nasıl yardımcı olabileceğinin bir gösterisidir.
Raporda, “Kampanyanın kodunu analiz etmemiz AI tarafından oluşturulan artefaktların açık işaretlerini gösteriyor.”
“Bu, saldırganların operasyonları ölçeklendirmesini, yükleri çeşitlendirmesini ve algılamadan kaçmasını her zamankinden daha hızlı ve daha kolay hale getiriyor.”
Firefox mağazasına önceki büyük ölçekli saldırı, geçen ay gerçekleşti ve Coinbase, Metamask, Güven Cüzdanı, Phantom, Exodus, OKX, Keplr ve Mymonero’dan cüzdan gibi davranan 40’tan fazla sahte uzantıyı içeriyordu.
Bu hileli uzantıların, Mozilla’nın Haziran 2025’te kripto-drainer eklentilerini tespit etmek için bir sistem kullanmasına rağmen Firefox mağazasına girmesi dikkat çekicidir.
KOI Security ayrıca, GreedyBear operatörlerinin, aynı veri hedefi mantığını kullanan ve aynı IP adresiyle iletişim kuran “Filecoin cüzdanı” adlı kötü niyetli bir krom uzantıyı zaten tespit ettikleri için Chrome Web mağazasına genişlemeyi araştırdığını işaret ettiğini bildiriyor.
Bu tehditlerden elde edilen riski en aza indirmek için, tarayıcınıza eklentiler yüklemeden önce daima birden fazla kullanıcı incelemesi okuyun ve uzantı ve yayıncı ayrıntılarını kontrol edin.
Resmi cüzdan uzantılarını, doğrudan barındırılan veya çevrimiçi mağazalardaki meşru eklenti ile bağlantı kuran projelerin web sitelerinde bulabilirsiniz.
BleepingComputer, bu kampanya ve kullanıcıları koruma çabaları hakkında Mozilla ve Google ile temasa geçti ve bu makaleyi herhangi bir yanıtla güncelleyecek.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.