「greedybear」と呼ばれる最近のキャンペーンでは、暗号通貨のウォレット所有者から推定100万ドルを盗むために、約150の悪意のあるFirefox拡張機能を利用しました。 KOIセキュリティによって明らかにされたこのスキームは、Firefoxアドオンストア内の合法的な暗号通貨ウォレット拡張機能になりすましている脅威アクターが関与しました。
その後、Mozillaは特定されたマルウェアを削除しました。しかし、研究者は、攻撃者が同様のキャンペーンを迅速に開始できることを示唆しており、Filecoin Walletという名前の拡張機能を通じて、Chrome Webストアですでに「GreedyBear」の潜在的な拡張が拡大しています。
悪意のある拡張機能は当初良性に見えました。脅威アクターは、メタマスク、トロンリンク、ラビーなどの人気のあるプラットフォームを模倣したブランディングで、一見無害な暗号ウォレット拡張機能をアップロードしました。その後、彼らは信頼を築くために偽の肯定的なレビューを蓄積しました。その後、攻撃者が名前とロゴを交換し、悪意のあるコードを注入し、これらの拡張機能をキーロガーに変換しました。これらの侵害された拡張機能は、フォームフィールド入力と被害者の外部IPアドレスをキャプチャすることができ、この機密データを攻撃者のサーバーに送信しました。
そのような脅威を防ぐために、ユーザーは公式のアドオンストアで見つかった盲目的に信頼できる拡張機能に対してアドバイスされます。新しい拡張機能をインストールする前に、スターレーティングだけを超えてユーザーのレビューを徹底的に読み、バージョンの履歴を調べ、開発者の他のプロジェクトを疑わしい活動のために精査することが重要です。特に暗号通貨ウォレットの場合、より安全な練習は、プロジェクトの公式Webサイトに直接ナビゲートすることです。これは、正当な拡張機能へのリンクを提供します。
