Mehr als 40 gefälschte Browser -Erweiterungen, die für Mozilla Firefox entwickelt wurden, wurden mit einer anhaltenden Phishing -Kampagne in Verbindung gebracht, die auf Kryptowährungsbenutzer abzielt, so ein Bericht, der am Mittwoch von der Cybersecurity -Firma Koi Security veröffentlicht wurde.
Diese böswilligen Erweiterungen haben weit verbreitete Krypto -Brieftaschen – einschließlich Coinbase, Metamaske, Vertrauensbrieftasche, Phantom, Exodus, OKX, MyMonero und Bitget – mit dem alleinigen Zweck, Benutzern Brieftaschen -Anmeldeinformationen zu stehlen. Nach der Installation extrahieren die Erweiterungen sensible Authentifizierungsdaten von gezielten Websites und übertragen sie unter der Kontrolle des Angreifers auf Remote -Server.
„Bisher konnten wir über 40 unterschiedliche Erweiterungen mit dieser Kampagne verbinden, die noch andauert und sehr lebendig ist“, berichtete Koi Security.
Der seit mindestens April tätige Operation, der seit mindestens April aktiv ist. Die jüngsten Erweiterungen wurden erst letzte Woche hochgeladen, was darauf hinweist, dass das Engagement für das fortgesetzte und aktive Bedrohungsakteur.
Social Engineering im Maßstab
Koi Security stellte fest, dass die Kampagne überzeugende Benutzeroberflächendesigns, authentisch aussehende Logos und klonierte Funktionen von legitimen Brieftaschenanbietern verwendet. In mehreren Fällen haben Angreifer Open-Source-Code aus offiziellen Erweiterungen wiederverwendet und böswillige Komponenten einbetteten, um die ursprüngliche Benutzererfahrung nachzuahmen und gleichzeitig die Sicherheit zu beeinträchtigen.
Eine besonders irreführende Erweiterung erhielt Hunderte von Fünf-Sterne-Bewertungen, eine Taktik, die darauf abzielte, die Glaubwürdigkeit zu verstärken und ahnungslose Benutzer zu locken.
„Dieser Ansatz mit niedrigem Effort und hoher Auswirkung ermöglichte es dem Akteur, die erwartete Benutzererfahrung aufrechtzuerhalten und gleichzeitig die Wahrscheinlichkeit einer sofortigen Erkennung zu verringern.“
Beweise deuten auf russischsprachige Gruppe hin
Während die endgültige Zuschreibung noch schwer fassbar ist, hob die KOI-Sicherheit Indikatoren hervor, was darauf hindeutet, dass eine russischsprachige Bedrohungsgruppe beteiligt ist. Dazu gehören russische Code-Kommentare und Metadaten, die in einem PDF-Dokument entdeckt wurden, das aus einem Befehl und Kontrollserver abgerufen wurde, das der Malware zugeordnet ist.
„Obwohl diese Artefakte nicht schlüssig sind, legen sie nahe, dass die Kampagne aus einer russischsprachigen Drohungsschauspielergruppe stammen kann.“
Dieser Beitrag ist ein öffentlicher RSS Feed. Sie finden den Original Post unter coinatory.com.
Unser Portal ist ein RSS-Nachrichtendienst und distanziert sich vor Falschmeldungen oder Irreführung. Unser Nachrichtenportal soll lediglich zum Informationsaustausch genutzt werden. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. Kryptohandel hat ein großes Handelsrisiko was zum Totalverlust führen kann.
