Bedrohungsakteure setzten ungefähr 150 bösartige Firefox -Erweiterungen ein, um Kryptowährungs -Brieftaschen -Referenzen zu stehlen, was zu geschätzten Million Dollar, die den Opfern gestohlen wurden, führten. Dieses Schema, das von Koi Security als „Greedybear“ identifiziert wurde und durch die Identifizierung legitimer Kryptowährungs-Brieftaschenverlängerungen innerhalb des Firefox-Add-On-Ladens betrieben wurde.
Die böswilligen Erweiterungen traten zunächst als gutartige Kryptowährungs -Brieftaschenwerkzeuge auf. Angreifer haben diese Erweiterungen mit dem Branding hochgeladen, der mit etablierten Plattformen übereinstimmt, darunter Metamask, Tronlink und Rabby. Diese anfänglichen Versionen sammelten auch positive Bewertungen, um ihre wahrgenommene Legitimität zu verbessern. Anschließend modifizierten die Angreifer diese Erweiterungen, indem sie Namen und Logos veränderten und dann böswilligen Code injizierten. Diese Transformation verwandelte die Erweiterungen in Keylogger.
Die gefährdeten Erweiterungen wurden so konzipiert, dass die von den Benutzern eingegebenen Formfeldeingänge erfasst werden. Darüber hinaus haben diese böswilligen Erweiterungen die externen IP -Adressen von Opfern protokolliert. Informationen, die von diesen Keylogger gesammelt wurden, wurden anschließend auf Server übertragen, die von den Angreifern kontrolliert wurden. Mozilla hat die identifizierte Malware seitdem aus dem Firefox-Add-On-Speicher entfernt, wie von Bleeping-Computer berichtet.
Die Forscher haben auch eine mögliche Erweiterung der Greedybear -Kampagne in den Chrome -Webladen ermittelt. Diese mögliche Erweiterung ist mit einer Erweiterung namens Filecoin Wallet verbunden. Den Benutzern wird empfohlen, vor der Installation der Browserverlängerungen Vorsicht zu wechseln. Zu den empfohlenen Vorsichtsmaßnahmen gehören die Überprüfung von Benutzerkommentern über die Sternenbewertungen, die Untersuchung des Versionshistoriums der Erweiterung und die Untersuchung anderer Projekte, die mit dem Entwickler verbunden sind, um verdächtige Aktivitäten zu erhalten.
Für Kryptowährungs-Brieftaschenerweiterungen umfasst eine sicherere Methode als die direkte Suche in Browser-Add-On-Stores die Navigation zur offiziellen Website des Cryptocurrency-Projekts. Legitime Erweiterungen werden in der Regel direkt von diesen offiziellen Projektwebsites verknüpft und bieten eine verifizierte Quelle für die Installation.
