- Especialistas sinalizam 150 complementos do Firefox, que serviram como InfoSoSoSealers e KeyLoggers
- Os complementos adicionados à loja são benignos, mas quando ganham uma reputação, são transformados em malware
- Os bandidos roubam criptografia e rastreiam os endereços IP de suas vítimas
Os usuários de criptomoeda que executam o navegador Firefox devem ter cuidado – uma grande campanha foi detectada com o objetivo de roubar seus tokens de suas carteiras.
Recentemente, pesquisadores de segurança da Koi Security identificaram 150 complementos na loja Mozilla, que serviu como InfoSoSealers e Keyloggers.
Esses complementos começaram como ferramentas benignas, personificando carteiras de criptografia populares, como Metamask, TronLink ou Rabby, mas depois de acumular downloads suficientes e críticas positivas, os atacantes os substituem por novos nomes e logotipos e injetar código malicioso que roubam credenciais e endereços IP da carteira do usuário.
GreedyBear
“As extensões armadas capturam credenciais da carteira diretamente dos campos de entrada do usuário na interface pop -up da própria extensão e os exfiltrando a um servidor remoto controlado pelo grupo”, disse a Koi Security em seu artigo.
“Durante a inicialização, eles também transmitem o endereço IP externo da vítima, provavelmente para fins de rastreamento ou direcionamento”.
O código malicioso foi parcialmente gerado com a ajuda da IA, disseram os especialistas, apelidando da campanha “GreedyBear” e alegando que já arrecadou mais de um milhão de dólares.
O “urso” no nome pode ser uma referência à Rússia, uma vez que a operação é aparentemente complementada por dezenas de sites de software pirateado que distribuem 500 Variantes de malware, bem como Trezor Fake, Júpiter Wallet e outros sites de criptografia. Todos eles estão escritos em russo.
O malware distribuído pelo site é genérico, acrescentou os pesquisadores, com o Lummastealer se destacando como um nome mais notável.
Todos os sites estão vinculados ao mesmo endereço IP, o que significa que uma única entidade está executando toda a operação.
A Koi Security relatou suas descobertas a Mozilla, que rapidamente removeu todos os complementos maliciosos de seu repositório. No entanto, os usuários que os baixaram nesse meio tempo permanecerão em risco até que excluam os complementos de seus navegadores e atualizem todas as credenciais de login.
Via BleepingComputer
Fique conectado