Extensiile Firefox malițioase imită MetaMask și Coinbase pentru a fura criptomonede

Cercetătorii de la firma de securitate cibernetică Koi Security au semnalat peste 40 de extensii Firefox false concepute pentru a fura acreditările portofelelor de criptomonede prin uzurparea identității platformelor populare precum MetaMask, Coinbase și OKX.

Activele de criptomonede deținute de utilizatorii Firefox, un browser open-source utilizat pe scară largă, sunt în pericol, potrivit unui raport recent al firmei de securitate.

O campanie la scară largă, activă cel puțin din aprilie 2025, folosește extensii rău intenționate încă disponibile în magazinul Mozilla Add-ons, evidențiind lacune semnificative în procesul de verificare a pluginurilor browserului.

Koi Security avertizează că aceste extensii false oglindesc ofertele legitime de portofel cu o acuratețe alarmantă, folosind aceleași nume, logo-uri și branding pentru a înșela utilizatorii.

În multe cazuri, extensiile reproduc codul portofelelor open-source, cu cod rău intenționat introdus discret pentru a glisa criptomonedele în timp ce funcționează ca un plugin normal.

Unele dintre mărcile uzurpate de extensiile Firefox false includ MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet și Filfox.

La începutul acestui an, OKX a avertizat cu privire la o extensie de browser falsă listată în magazinul Firefox, care imita pluginul origins al bursei pentru a fura acreditările din portofelele victimelor.

Extensia rău intenționată încă în magazinul Firefox

Koi a legat campania de peste 40 de extensii individuale prin tactici, tehnici și proceduri comune, precum și prin infrastructură suprapusă. 

Potrivit raportului, campania este în prezent "activă, persistentă și în evoluție", cu noi versiuni ale extensiilor care continuă să apară în ciuda eforturilor de eliminare. Cele mai recente încărcări au fost detectate în iunie.

Odată instalate, extensiile false extrag în tăcere secretele portofelului și le transmit către un server de la distanță controlat de atacatori. 

Pe lângă furtul datelor de conectare, malware-ul captează adresele IP externe ale utilizatorilor, potențial pentru a ajuta la profilarea ulterioară sau la atacuri ulterioare.

Pentru a încuraja descărcările, atacatorii exploatează și mecanismele de încredere de pe piața pluginurilor.

Multe dintre extensiile false sunt susținute cu sute de recenzii false de cinci stele, depășind cu mult ceea ce s-ar aștepta pe baza instalărilor reale ale utilizatorilor.

Koi a găsit semne care indică un actor de amenințare vorbitor de limbă rusă, inclusiv comentarii în limba rusă încorporate în codul extensiei și metadate preluate de pe un server de comandă folosit în operațiune. 

În timp ce atribuirea rămâne provizorie, cercetătorii Koi cred că acești indicatori sugerează un grup bine organizat și competent din punct de vedere tehnic.

Amploarea și sofisticarea campaniei reprezintă o amenințare semnificativă pentru utilizatorii de criptomonede.

Prin deturnarea extensiilor de browser, un instrument de încredere în rândul comercianților și investitorilor, atacatorii pot ocoli apărările tradiționale de phishing și pot obține acces direct la portofele.

Deoarece aceste extensii funcționează adesea cu permisiuni ridicate, ele pot compromite conturile unei victime fără ca acestea să le poată detecta până când nu este prea târziu.

O tactică veche

Campanii ca acestea subliniază riscurile cu care se confruntă utilizatorii de criptomonede cu amănuntul, mai ales pe măsură ce adoptarea criptomonedelor crește și interacțiunile cu portofelele bazate pe browser devin mai frecvente. 

Potrivit unui sondaj NASAA, frauda legată de criptomonede și înșelătoriile bazate pe rețelele sociale rămân printre principalele amenințări la adresa investitorilor în 2025.

În ultimii ani, extensiile de browser rău intenționate au devenit un instrument proeminent în arsenalul infractorilor cibernetici, incidentele apărând și în alte browsere.

De exemplu, în martie, o versiune compromisă a instrumentului proxy Chrome SwitchyOmega a fost găsită furând chei private din portofele cripto după ce un atac de phishing a permis injectarea de cod rău intenționat. 

O altă extensie Chrome malițioasă numită "Bull Checker" a fost semnalată de DEX Jupiter bazat pe Solana anul trecut. Extensia a secătuit portofelele utilizatorilor prin modificarea sarcinilor utile ale tranzacțiilor.

Tactici similare au fost folosite și în campaniile anterioare care au implicat versiuni false ale aplicației Ledger Live și instrumente de tranzacționare Aggr.

Unele extensii solicită utilizatorilor să-și introducă frazele de bază în timpul configurării sau să colecteze în secret cookie-urile browserului, care sunt apoi folosite pentru a reconstrui parolele și a accesa conturile cripto.