Siber güvenlik araştırmacıları, Mozilla Firefox için kripto para birimi cüzdanı sırlarını çalmak ve kullanıcıların dijital varlıklarını riske atmak için tasarlanmış 40’tan fazla kötü amaçlı tarayıcı uzantısını ortaya çıkardılar.
Koi güvenlik araştırmacısı Yuval Ronen, “Bu uzantılar, Coinbase, Metamask, Güven Cüzdanı, Phantom, Exodus, OKX, KEPLR, Mymonero, Bitget, Leap, Ethereum Cüzdan ve Filfox gibi yaygın olarak kullanılan platformlardan meşru cüzdan araçlarını taklit ediyor.” Dedi.
Büyük ölçekli kampanyanın en az Nisan 2025’ten beri devam ettiği söyleniyor ve Firefox eklentileri mağazasına geçen hafta kadar yakın zamanda yüklendi.
Belirlenen uzantıların popülerliklerini yapay olarak şişirdiği ve toplam aktif kurulum sayısının çok ötesine geçen yüzlerce 5 yıldızlı inceleme eklediği bulunmuştur. Bu strateji, onlara bir özgünlük yanılsaması vermek için kullanılır, bu da şüphesiz kullanıcıları bunları yüklemeleri için geniş bir şekilde benimsenmiş gibi görünür ve kandırır.
Tehdit oyuncusu tarafından Trust’ı desteklemek için benimsenen bir başka taktik, bu eklentileri aynı isimleri ve logoları kullanarak meşru cüzdan araçları olarak geçirmeyi içerir.
Gerçek uzantıların bazılarının açık kaynaklı olması, saldırganların kaynak kodlarını klonlamasına ve cüzdan anahtarlarını ve tohum ifadelerini hedeflenen web sitelerinden çıkarmak ve uzak bir sunucuya eklemek için kendi kötü niyetli işlevlerini enjekte etmesine izin verdi. Rogue uzantılarının kurbanların dış IP adreslerini ilettiği bulunmuştur.
Sahte web sitelerine veya e -postalara dayanan tipik kimlik avı dolandırıcılığının aksine, bu uzantılar kullanıcının tarayıcısının içinde çalışır ve bunları geleneksel uç nokta araçlarıyla tespit etmek veya engellemek için çok daha zordur.
Ronen, “Bu düşük çaba, yüksek etkili yaklaşım, aktörün anında tespit şansını azaltırken beklenen kullanıcı deneyimini sürdürmesine izin verdi.” Dedi.
Rus dili yorumlarının kaynak kodundaki varlığı ve etkinlik için kullanılan komut ve kontrol (C2) sunucusundan alınan bir PDF dosyasından elde edilen meta veriler, Rusça konuşan bir tehdit aktör grubuna işaret ediyor.
Mymonero cüzdanı hariç tüm belirlenen eklentiler Mozilla tarafından kaldırıldı. Geçen ay, tarayıcı üreticisi, kullanıcılar arasında popülerlik kazanmadan önce aldatmaca kripto cüzdan uzantılarını algılamak ve engellemek için bir “erken algılama sistemi” geliştirdiğini ve kullanıcıların varlıklarını kimlik bilgilerini girerek kandırarak çalmak için kullanıldığını söyledi.
Bu tür tehditlerin ortaya koyduğu riski azaltmak için, yalnızca doğrulanmış yayıncılardan uzantılar kurmanız ve kurulum sonrası davranışlarını sessizce değiştirmediklerinden emin olmak için onları incelemeniz önerilir.