Mais de 40 extensões falsas para o popular navegador web Mozilla Firefox foram vinculadas a uma campanha de malware em andamento para roubar criptomoedas dos usuários, de acordo com um relatório publicado na quarta-feira pela empresa de cibersegurança Koi Security.
A operação de phishing em larga escala supostamente utiliza extensões que se passam por ferramentas de carteira, como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget e outras. Uma vez instaladas, as extensões maliciosas são projetadas para roubar as credenciais da carteira dos usuários.
“Até agora, conseguimos vincular mais de 40 extensões diferentes a esta campanha, que ainda está em andamento e muito ativa”, disse a empresa.
A Koi Security disse que a campanha está ativa desde pelo menos abril, e as extensões mais recentes foram carregadas na semana passada. As extensões supostamente extraem credenciais de carteira diretamente de sites-alvo e as enviam para um servidor remoto controlado pelo atacante.
Malware explora a confiança através do design
De acordo com o relatório, a campanha utiliza classificações, avaliações, marcas e funcionalidades para ganhar a confiança do usuário, aparentando ser legítima e aumentando as taxas de instalação. Um dos aplicativos tinha centenas de falsas avaliações de cinco estrelas.
As extensões falsas também apresentavam nomes e logotipos idênticos aos dos serviços reais que imitavam. Em várias instâncias, os atores da ameaça também aproveitaram o código-fonte aberto das extensões oficiais, clonando suas aplicações, mas com código malicioso adicionado:
“Essa abordagem de baixo esforço e alto impacto permitiu que o ator mantivesse a experiência do usuário esperada, enquanto reduzia as chances de detecção imediata.”
Atores de ameaça de língua russa suspeitos
A Koi Security disse que “a atribuição permanece tentativa”, mas sugeriu que “múltiplos sinais apontam para um ator de ameaça de língua russa”. Esses sinais incluem comentários em russo no código e metadados encontrados em um arquivo PDF recuperado de um servidor de comando e controle de malware envolvido no incidente:
“Embora não conclusivos, esses artefatos sugerem que a campanha pode ter origem em um grupo de atores de ameaça de língua russa.”
Para mitigar riscos, a Koi Security aconselhou os usuários a instalar extensões de navegador apenas de editores verificados. A empresa também recomendou tratar extensões como ativos de software completos, utilizando listas de permissões e monitorando comportamentos ou atualizações inesperadas.
Revista: Hackers de criptomoeda da Coreia do Norte usam ChatGPT, dinheiro da estrada da Malásia desviado: Asia Express
