Uživatelé kryptoměnových peněženek jako MetaMask, Coinbase či Trust Wallet, kteří pro přístup využívají prohlížeč Firefox, čelí nové hrozbě. Bezpečnostní společnost Koi Security odhalila rozsáhlou a stále aktivní kampaň, která prostřednictvím více než čtyřiceti falešných doplňků prohlížeče krade přihlašovací údaje a ohrožuje digitální aktiva uživatelů.
Koi Security odhalila desítky falešných doplňků
Bezpečnostní firma Koi Security odhalila rozsáhlou a stále probíhající škodlivou kampaň, která cílí na uživatele kryptoměn prostřednictvím falešných doplňků pro internetový prohlížeč Firefox.
Útočníci používají propracované metody k oklamání uživatelů. Často klonují existující open-source peněženky. Do jejich kódu následně vkládají vlastní škodlivou logiku. Původní funkčnost aplikace přitom zůstává plně zachována, uživatel tak nemusí dlouho poznat žádný problém.
Pro zvýšení důvěryhodnosti útočníci také kopírují vizuální styl a recenze legitimních aplikací. V mnoha případech dokonce používají stovky falešných pozitivních hodnocení, aby jejich doplněk působil populárně.
Systematická kampaň, aktivní minimálně od dubna letošního roku, zahrnuje více než 40 různých škodlivých doplňků. Cílí na uživatele populárních peněženek jako Coinbase, MetaMask, Trust Wallet, Phantom a mnoha dalších. Po instalaci doplňky skrytě extrahují přihlašovací údaje a odesílají je na servery pod kontrolou útočníků, přičemž pro účely sledování zaznamenávají i IP adresy obětí.
Během vyšetřování analytici z Koi Security objevili stopy naznačující možný původ operace v ruskojazyčném prostředí. V kódu některých doplňků byly nalezeny skryté poznámky v ruštině a metadata v PDF souboru na jednom z kontrolních serverů rovněž obsahovala ruský text. Ačkoliv se nejedná o definitivní důkaz, podobné indicie se objevily i u staršího podvodného schématu, na které dříve upozornila firma SlowMist.
Na základě zjištění, která poukazují na koordinovanou a systematickou operaci, vydala společnost Koi Security bezpečnostní doporučení pro uživatele. Vyzývá je k okamžité kontrole nainstalovaných doplňků v prohlížeči Firefox, odinstalování podezřelých nástrojů a k preventivní změně přihlašovacích údajů ke všem používaným kryptoměnovým peněženkám.
Firma Koi Security zároveň potvrdila, že již aktivně spolupracuje se společností Mozilla na odstranění identifikovaných škodlivých doplňků z oficiálního obchodu a na dalším monitorování situace.
Závěr
Pokud tedy používáte prohlížeč Firefox, určitě se neváhejte podívat na vaše připojené doplňky. Ve světě kryptoměn rozhodně nezapomínejte být dvojnásobně obezřetní. Máte-li jakýkoliv dotaz, neváhejte nám napsat.
Neváhejte se případně připojit
na náš Discord server