Os atores de ameaças empregaram aproximadamente 150 extensões maliciosas do Firefox para roubar credenciais da carteira de criptomoedas, resultando em cerca de um milhão de dólares roubados das vítimas. Esse esquema, identificado como “GreedyBear” por Koi Security, operado por extensões legítimas de carteira de criptomoedas legítimas dentro da loja de complementos do Firefox.
As extensões maliciosas apareceram inicialmente como ferramentas de carteira de criptomoeda benignas. Os atacantes enviaram essas extensões com a marca consistente com plataformas estabelecidas, incluindo Metamask, TronLink e Rabby. Essas versões iniciais também acumularam revisões positivas fabricadas para melhorar sua legitimidade percebida. Posteriormente, os atacantes modificaram essas extensões alterando nomes e logotipos e depois injetaram código malicioso. Essa transformação converteu as extensões em KeyLoggers.
As extensões comprometidas foram projetadas para capturar entradas de campo de formulário inseridas pelos usuários. Além disso, essas extensões maliciosas registraram os endereços IP externos das vítimas. As informações coletadas por esses keyloggers foram posteriormente transmitidas a servidores controlados pelos atacantes. Desde então, a Mozilla removeu o malware identificado da loja de complementos do Firefox, conforme relatado pelo computador Bleeping.
Os pesquisadores também identificaram uma expansão potencial da campanha gananciosa na loja da web do Chrome. Essa possível expansão está ligada a uma extensão chamada Filecoin Wallet. Os usuários são aconselhados a exercer cautela antes de instalar extensões de navegador. As precauções recomendadas incluem revisar os comentários do usuário além das classificações em estrelas, examinar o histórico da versão da extensão e investigar outros projetos associados ao desenvolvedor para qualquer atividade suspeita.
Para extensões de carteira de criptomoeda especificamente, um método mais seguro do que pesquisar diretamente nas lojas de complementos do navegador envolve a navegação no site oficial do projeto de criptomoeda. As extensões legítimas geralmente estão ligadas diretamente desses sites oficiais de projeto, fornecendo uma fonte verificada para instalação.
