O campanie recentă de malware, denumită „GreedyBear”, a compromis peste 150 de extensii Firefox, vizând utilizatorii de portofele crypto și provocând pierderi de peste un milion de dolari.
Deținătorii de portofele de criptomonede sunt vizați de o nouă metodă de atac cibernetic, prin care extensii malițioase din browserul Firefox au permis infractorilor să sustragă fonduri direct din conturile victimelor.
Potrivit companiei de securitate Koi Security, campania denumită „GreedyBear” a implicat aproximativ 150 de extensii care au reușit să dreneze peste un milion de dolari, informează Life Hacker.
Atacatorii au reușit să își distribuie malware-ul direct prin magazinul oficial de add-on-uri al Firefox, mascându-l sub forma unor extensii populare de portofel crypto.
Printre brandurile imitate s-au numărat MetaMask, TronLink și Rabby. După ce extensiile primeau aprobarea oficială, acestea acumulau recenzii false pentru a părea de încredere.
De la extensii legitime la keylogger-uri periculoase
Inițial, extensiile distribuite prin „GreedyBear” erau inofensive, funcționând ca portofele crypto autentice. Ulterior, infractorii le modificau, înlocuind numele și logo-urile cu elemente noi și injectând cod malițios.
Acest cod transforma extensiile în keylogger-e, programe care înregistrează tot ce tastează utilizatorul în formulare online.
Datele capturate, inclusiv parolele și frazele-seed ale portofelelor crypto, erau transmise către serverele controlate de atacatori. În plus, extensiile înregistrau și adresele IP externe ale victimelor, ceea ce putea facilita atacuri suplimentare.
Mozilla a eliminat aceste extensii din magazinul Firefox, însă specialiștii avertizează că metode similare de furt ar putea reapărea rapid.
Mai mult, cercetătorii au descoperit indicii privind extinderea campaniei către Chrome Web Store, printr-o extensie suspectă denumită „Filecoin Wallet”.
Cum să îți protejezi portofelul crypto
Experții în securitate atrag atenția că simpla prezență a unei extensii în magazinele oficiale de Firefox sau Chrome nu garantează siguranța acesteia. Utilizatorii sunt sfătuiți să:
- citească recenziile detaliate, nu doar să se bazeze pe ratingul în stele;
- verifice istoricul versiunilor extensiei;
- analizeze alte proiecte ale aceluiași dezvoltator.
În cazul portofelelor crypto, cea mai sigură metodă de instalare a extensiei este accesarea linkului direct de pe site-ul oficial al proiectului. Astfel, se evită riscul de a descărca versiuni modificate sau falsificate.
Campania „GreedyBear” arată cât de sofisticate au devenit atacurile asupra utilizatorilor de criptomonede și cât de ușor pot fi exploatate platformele oficiale de distribuție de software.
În contextul creșterii valorii activelor digitale, vigilența și verificarea atentă a surselor devin esențiale pentru protejarea fondurilor.