Dreigingsactoren gebruikten ongeveer 150 kwaadaardige Firefox -uitbreidingen om cryptocurrency -portemonnee -referenties te stelen, wat resulteerde in naar schatting een miljoen dollar gestolen van slachtoffers. Dit schema, geïdentificeerd als “Greedybear” door Koi Security, beheerd door zich voor te doen als legitieme cryptocurrency-portemonnee-extensies in de Firefox Add-ons-winkel.
De kwaadaardige extensies verschenen aanvankelijk als goedaardige Cryptocurrency Wallet -tools. Aanvallers uploadden deze extensies met branding in overeenstemming met gevestigde platforms, waaronder Metamask, Tronlink en Rabby. Deze eerste versies verzamelden ook gefabriceerde positieve beoordelingen om hun waargenomen legitimiteit te verbeteren. Vervolgens hebben de aanvallers deze extensies gewijzigd door namen en logo’s te wijzigen en vervolgens kwaadaardige code te injecteren. Deze transformatie heeft de extensies omgezet in keyloggers.
De gecompromitteerde extensies zijn ontworpen om het formulierveldinvoer vast te leggen dat door gebruikers is ingevoerd. Bovendien hebben deze kwaadaardige extensies de externe IP -adressen van slachtoffers vastgelegd. Informatie verzameld door deze keyloggers werd vervolgens verzonden naar servers die door de aanvallers worden bestuurd. Mozilla heeft sindsdien de geïdentificeerde malware uit de Firefox Add-ONS-winkel verwijderd, zoals gemeld door Bleeping Computer.
Onderzoekers hebben ook een mogelijke uitbreiding van de Greedybear -campagne geïdentificeerd in de Chrome Web Store. Deze mogelijke uitbreiding is gekoppeld aan een extensie met de naam FileCoin -portemonnee. Gebruikers wordt geadviseerd om voorzichtig te zijn voordat ze browservertensies installeren. Aanbevolen voorzorgsmaatregelen zijn onder meer het beoordelen van opmerkingen van gebruikers die verder gaan dan sterrenbeoordelingen, het onderzoeken van de versiegeschiedenis van de extensie en het onderzoeken van andere projecten die bij de ontwikkelaar zijn gekoppeld voor verdachte activiteit.
Voor de extensies van cryptocurrency-portemonnee specifiek omvat een veiliger methode dan direct zoeken naar add-on-winkels van browser in het navigeren naar de officiële website van het cryptocurrency-project. Legitieme extensies zijn meestal rechtstreeks gekoppeld aan deze officiële projectwebsites, en bieden een geverifieerde bron voor installatie.
