Hơn 40 tiện ích mở rộng Firefox giả mạo các ví tiền điện tử phổ biến đã được sử dụng trong một chiến dịch đang diễn ra nhằm đánh cắp thông tin đăng nhập ví của người dùng.
Theo một báo cáo được công bố bởi công ty an ninh mạng Koi Security, hơn 40 tiện ích mở rộng giả mạo cho trình duyệt web phổ biến Mozilla Firefox có liên quan đến một chiến dịch phần mềm độc hại đang diễn ra để đánh cắp tiền điện tử từ người dùng.
Chiến dịch lừa đảo quy mô lớn này triển khai các tiện ích mở rộng mạo danh các công cụ ví như Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget và những ứng dụng khác. Sau khi được cài đặt, các tiện ích mở rộng độc hại này được thiết kế để đánh cắp thông tin đăng nhập ví của người dùng.
Koi Security cho biết chiến dịch này đã hoạt động ít nhất từ tháng 4 và các tiện ích mở rộng gần đây nhất đã được tải lên vào tuần trước. Các tiện ích mở rộng được cho là trích xuất thông tin đăng nhập ví trực tiếp từ các trang web được nhắm mục tiêu và tải chúng lên một máy chủ từ xa do kẻ tấn công kiểm soát.
Nguồn: SlowMist
Theo báo cáo, chiến dịch này tận dụng xếp hạng, đánh giá, xây dựng thương hiệu và chức năng để đạt được sự tin tưởng của người dùng bằng cách xuất hiện hợp pháp và tăng tỷ lệ cài đặt. Một trong các ứng dụng có hàng trăm đánh giá năm sao giả mạo.
Các tiện ích mở rộng giả mạo cũng có tên và biểu trưng giống hệt với các dịch vụ thực mà chúng mạo danh. Trong nhiều trường hợp, những kẻ đe dọa cũng tận dụng mã nguồn mở của các tiện ích mở rộng chính thức bằng cách sao chép các ứng dụng của họ nhưng có thêm mã độc hại:
Koi Security cho biết “việc quy kết vẫn còn mang tính thăm dò”, nhưng gợi ý rằng “nhiều tín hiệu chỉ ra một tác nhân đe dọa nói tiếng Nga”. Các tín hiệu đó bao gồm các nhận xét bằng tiếng Nga trong mã và siêu dữ liệu được tìm thấy trong tệp PDF được truy xuất từ máy chủ chỉ huy và kiểm soát phần mềm độc hại có liên quan đến sự cố:
Để giảm thiểu rủi ro, Koi Security kêu gọi người dùng chỉ cài đặt các tiện ích mở rộng trình duyệt từ các nhà xuất bản đã được xác minh. Công ty cũng khuyến nghị coi các tiện ích mở rộng như tài sản phần mềm đầy đủ, sử dụng danh sách cho phép và theo dõi các hành vi hoặc cập nhật bất ngờ.
