区小号报道:
一项新研究表明,恶意软件活动正在利用恶意的 Firefox 插件冒充合法的加密钱包,试图窃取粗心用户的资金。
锦鲤安全发现“FoxyWallet”活动中有超过 40 个恶意扩展程序冒充了真正的加密钱包,其中包括 Coinbase Wallet、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr 和 MyMonero。
该恶意软件活动发现恶意代码用于将钱包机密泄露到攻击者控制的服务器。该代码会检查长度超过 30 个字符的输入字符串,以筛选出真实的钱包密钥/种子短语,然后再将数据发送给攻击者。受害者的外部 IP 地址也会被传输给攻击者,以便进行跟踪或进一步定位。
Koi Security 解释说,FoxyWallet 的创建者“利用了官方扩展是开源的事实”,并补充说,“他们克隆了真正的代码库并插入了自己的恶意逻辑,创建了按预期运行的扩展,同时秘密窃取敏感数据。”
对这些恶意扩展的进一步探索表明,威胁行为者会说俄语,在他们的代码中发现了俄语注释,并且在命令和控制服务器上发现的 PDF 文件中的元数据中也发现了俄语注释。
Koi Security 表示,该活动似乎至少从 4 月份就开始活跃,上周又添加了新的恶意扩展程序。尽管该公司已使用 Firefox 官方报告工具报告了发现的问题,但直到昨天,一些虚假扩展程序仍然在 Firefox 附加组件商店中可用。
Firefox 的创造者 Mozilla 发布了陈述周四,该公司表示“意识到有人试图使用恶意加密窃取扩展程序来利用 Firefox 的附加组件生态系统”,并补充说“通过改进工具和流程,我们已采取措施快速识别并删除此类附加组件。”
该公司补充说,Koi Security 报告中标记的许多恶意扩展程序在发布之前已被其团队删除,并且“正在审查他们发现的其余几个附加组件,这是我们持续保护用户承诺的一部分”。
“猫和老鼠游戏”
Mozilla 指出最近博客文章该公司报告了其应对加密货币窃取扩展程序威胁的努力,其中其附加组件运营经理 Andreas Wagner 指出,该公司近年来发现了“数百个”诈骗加密钱包。“这就像一场持续不断的猫捉老鼠游戏,”Wagner 表示,恶意软件开发者试图“绕过我们的检测方法”。
解密已联系 Mozilla,如果他们回应,我们将更新本文。
为了避免成为 FoxyWallet 或类似骗局的受害者,建议用户仅下载和安装来自经过验证的发布者的扩展程序,将扩展程序视为完整的软件资产,使用扩展程序允许列表将安装限制为预先批准的、经过验证的扩展程序,并实施持续监控,而不仅仅是一次性扫描。
发表评论 取消回复