威胁性参与者雇用了大约150个恶意Firefox扩展,以窃取加密货币钱包的证书,估计有100万美元从受害者身上偷走了。该方案被KOI Security确定为“贪婪”,该方案是通过在Firefox附加组件中冒充合法的加密货币钱包扩展而操作的。
恶意扩展最初是作为良性加密货币钱包工具出现的。攻击者将这些扩展名与既定平台(包括MetAmask,Tronlink和Rabby)一致的品牌上传。这些初始版本还积累了捏造的积极评价,以增强其合法性。随后,攻击者通过更改名称和徽标进行了修改,然后注入恶意代码。这种转换将扩展名转换为钥匙记录员。
折衷的扩展旨在捕获用户输入的表单字段输入。此外,这些恶意扩展记录了受害者的外部IP地址。这些键盘记录器收集的信息随后被传输到攻击者控制的服务器。此后,Mozilla从Firefox附加组件中删除了已确定的恶意软件,如Bleeping Computer所报道。
研究人员还确定了将贪婪的运动活动扩展到Chrome网络商店。这种可能的扩展与名为Filecoin钱包的扩展相关。建议用户在安装浏览器扩展之前谨慎行事。推荐的预防措施包括审查超出星级评级以外的用户评论,检查扩展的版本历史记录,并研究与开发人员有关的其他可疑活动的项目。
对于特别是加密货币钱包扩展,比直接在浏览器附加商店中搜索的更安全的方法涉及到加密货币项目的官方网站。合法扩展通常直接从这些官方项目网站链接,提供了经过验证的安装来源。
