Cybersecurity -onderzoekers hebben meer dan 40 kwaadaardige browservertensies voor Mozilla Firefox ontdekt die zijn ontworpen om cryptocurrency -portemonnee -geheimen te stelen, waardoor de digitale activa van gebruikers het risico lopen.
“Deze extensies doen zich voor als legitieme portemonnee-tools van veelgebruikte platforms zoals Coinbase, Metamask, Trust Wallet, Phantom, Exodus, OKX, Keplr, Monero, Bitget, Leap, Ethereum Wallet en Filfox,” zei Koi Security Researcher Yuval Ronen.
De grootschalige campagne zou al sinds minstens april 2025 aan de gang zijn, met nieuwe extensies geüpload naar de Firefox Add-ons-winkel zo recent als vorige week.
De geïdentificeerde extensies zijn gevonden om hun populariteit kunstmatig te verhogen, met honderden 5-sterrenrecensies die veel verder gaan dan het totale aantal actieve installaties. Deze strategie wordt gebruikt om hen een illusie van authenticiteit te geven, waardoor het lijken alsof ze algemeen worden aangenomen en niet -verwerkende gebruikers worden misleid om ze te installeren.
Een andere tactiek die door de dreigingsacteur wordt aangenomen om het vertrouwen te versterken, houdt in dat deze add-ons wordt doorgegeven als legitieme portemonnee-tools, met dezelfde namen en logo’s.
Het feit dat sommige van de werkelijke extensies open-source waren, stelde de aanvallers in staat om hun broncode te klonen en hun eigen kwaadaardige functionaliteit te injecteren om portefeuilles en zaadzinnen van gerichte websites te extraheren en ze naar een externe server te exfiltreren. De Rogue -extensies zijn ook gevonden om de externe IP -adressen van de slachtoffers te verzenden.
In tegenstelling tot typische phishing -zwendel die afhankelijk zijn van nepwebsites of e -mails, werken deze extensies in de browser van de gebruiker – waardoor ze veel moeilijker worden om te detecteren of te blokkeren met traditionele eindpunttools.
“Dankzij deze lage, high-impact aanpak kon de acteur de verwachte gebruikerservaring behouden en tegelijkertijd de kansen op onmiddellijke detectie verminderen,” zei Ronen.
De aanwezigheid van Russische taalcommentaar in de broncode en metadata verkregen uit een PDF-bestand dat is opgehaald uit de command-and-control (C2) -server die wordt gebruikt voor de activiteitenpunten naar een Russisch sprekende dreigingsacteur Group.
Alle geïdentificeerde add-ons, met uitzondering van de portemonnee van Monero, zijn sindsdien verwijderd door Mozilla. Vorige maand zei de browserfabrikant dat het een “vroeg detectiesysteem” heeft ontwikkeld om scam -crypto -portemonnee -extensies te detecteren en te blokkeren voordat ze populair worden bij gebruikers en worden gebruikt om de activa van gebruikers te stelen door ze te misleiden om hun geloofsbrieven in te voeren.
Om het risico van dergelijke bedreigingen te verminderen, wordt het geadviseerd om extensies alleen van geverifieerde uitgevers te installeren en hen te dierenartsen om ervoor te zorgen dat ze hun gedrag niet in stilte veranderen na de installatie.
