Firefox’un resmi eklentileri mağazasındaki 40’tan fazla sahte uzantısı, cüzdan kimlik bilgilerini ve hassas verileri çalmak için güvenilir sağlayıcılardan popüler kripto para cüzdanlarını taklit ediyor.
Bazı uzantılar Coinbase, Metamask, Güven Cüzdanı, Phantom, Exodus, OKX, KEPLR ve MyMonero’dan cüzdan gibi davranıyor ve saldırgan kontrollü sunuculara çalınan bilgi gönderen kötü amaçlı kodlar içeriyor.

Kaynak: BleepingComputer
KOI Security’deki araştırmacılar, kampanyanın arkasında Rusça konuşan bir tehdit grubu olduğunu gösteren kanıtlarla birlikte riskli uzantıları buldular.
BleepingComputer ile paylaşılan bir raporda, araştırmacılar, bu tarayıcı eklentilerinin çoğunun, kötü niyetli mantıkla meşru cüzdanların açık kaynaklı versiyonlarının klonları olduğunu söylüyor.
KOI Security, kurbandan hassas veri girdilerini izleyen koddaki ‘giriş’ ve ‘tıklama’ olay dinleyicileri örnekleri sunar.

Kaynak: KOI Güvenliği
Kod, gerçekçi cüzdan tuşları/tohum ifadeleri için filtrelemek için 30 karakterden uzun olan giriş dizelerini kontrol eder ve verileri saldırganlara püskürtür.
Hata iletişim kutuları, kullanıcıyı etkinliğin uyarılabilecek herhangi bir öğe için opaklığı sıfıra ayarlayarak kullanıcıdan gizlenir.
Tohum cümleleri (kurtarma/anımsatıcı ifade) tipik olarak birden fazla kelimeyi içeren ana anahtarlardır, bu da kullanıcıların yeni cihazlara cüzdanları kurtarmasına veya bağlantı noktasına getirmesine izin verir.
Birinin tohum ifadesini elde etmek, cüzdandaki tüm kripto para birimi varlıklarını çalmayı mümkün kılar. Hırsızlık meşru bir işlem olarak görünür ve geri döndürülemez.
Kampanya en az Nisan ayından beri aktif ve Firefox mağazasına sürekli olarak yeni uzantılar ekleniyor. Araştırmacılar, en yeni kötü niyetli girişlerin geçen hafta kadar yeni olduğunu söylüyor.
Güven oluşturmak için, tehdit oyuncusu taklit ettikleri markaların gerçek logolarını kullanıyor ve uzantıların çoğunda yüzlerce sahte beş yıldızlı inceleme vardı. Bazıları, muhtemelen kripto para birimini kaybeden kullanıcılardan aldatmaca rapor eden çok sayıda tek yıldızlı inceleme vardı.

Kaynak: BleepingComputer
Kullanıcı incelemelerinin çoğu açıkça sahte olmasına rağmen (kurulum rakamını açık arta aşarlar), ayrıntılara dikkat etmeyen birçok kullanıcı hala bunları yüklemek için kandırılabilir ve tohum ifadelerinin çalınmasını riske atabilir.
Mozilla, kripto aldatmaca uzantıları için erken bir algılama sistemi geliştirdi. Risk düzeyini değerlendirmek için otomatik göstergelere dayanır. Bir eşiğe ulaşılırsa, insan gözden geçirenler gönderimi analiz eder ve kötü niyetli ise engeller.
KOI Security, BleepingComputer’a, resmi raporlama aracını kullanarak bulguları Firefox mağazasına bildirdiklerini, ancak sahte uzantılar yazma sırasında Avaialble olmaya devam ettiklerini söyledi.
BleepingComputer, konuyla ilgili bir yorum için Mozilla’ya ulaştı, ancak bir açıklama hemen mevcut değildi.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.