根据网络安全公司Koi Security周三发布的报告,超过40个假冒Mozilla Firefox插件被用于一个正在进行的恶意软件活动中,盗窃用户的加密货币。
这个大规模钓鱼行动中,攻击者假借Coinbase、MetaMask、Trust Wallet等知名加密钱包的名义,诱导用户下载恶意插件。一旦安装,这些插件会窃取用户的钱包凭证。
Koi Security表示,自四月以来,该活动一直活跃,最近的插件在上周刚被上传。这些插件从目标网站获取钱包凭证,并上传到攻击者控制的服务器。
相关: 一款简单的浏览器扩展如何阻止8万美元的恶意转账
恶意软件通过设计获得用户信任
报告指出,钓鱼活动利用评分、评论、品牌和功能营造正版假象,以增加安装率。有的应用甚至有数百个虚假的五星评价。
假冒扩展借用真实品牌的名称和标志,有的甚至直接克隆官方开源代码,只对其中部分代码进行恶意修改。
“这种低成本高回报的方法维持了用户期望的体验,同时减少了被立即检测到的机会。”
相关: 微软警告:新型远程访问木马针对加密钱包
疑为俄语威胁者所为
Koi Security表示,尽管“归属尚未确定”,但多个信号指向俄语威胁者。这些信号包括代码中的俄语注释和从恶意软件控制服务器提取的PDF文件中的元数据。
“尽管并不确凿,但这些证据表明该活动可能来源于讲俄语的威胁者团体。”
为降低风险,Koi Security建议用户仅从验证过的发行商处安装浏览器扩展,并将其视作完整的软件资产进行管理,使用白名单并监控异常行为或更新。
杂志: 朝鲜黑客利用ChatGPT,马来西亚公路资金被盗:亚洲快报
