Hacking
Κακόβουλες επεκτάσεις Firefox απειλούν κρυπτονομίσματα
Κακόβουλες επεκτάσεις Firefox στοχεύουν πορτοφόλια κρυπτονομισμάτων, απειλώντας την ασφάλεια των ψηφιακών περιουσιακών στοιχείων.
Ανακάλυψη επικίνδυνων επεκτάσεων
Οι ερευνητές της κυβερνοασφάλειας έχουν εντοπίσει πάνω από 40 κακόβουλες επεκτάσεις προγράμματος περιήγησης για το Mozilla Firefox που έχουν σχεδιαστεί για να κλέβουν τα μυστικά των πορτοφολιών κρυπτονομισμάτων, θέτοντας σε κίνδυνο τα ψηφιακά περιουσιακά στοιχεία των χρηστών. Αυτές οι επεκτάσεις προσποιούνται ότι είναι νόμιμα εργαλεία πορτοφολιών από ευρέως χρησιμοποιούμενες πλατφόρμες, όπως το Coinbase, το MetaMask, το Trust Wallet, το Phantom, το Exodus, το OKX, το Keplr, το MyMonero, το Bitget, το Leap, το Ethereum Wallet και το Filfox, σύμφωνα με τον ερευνητή της Koi Security, Yuval Ronen.
Μια εκστρατεία μεγάλης κλίμακας
Η εκστρατεία αυτή φαίνεται να βρίσκεται σε εξέλιξη από τον Απρίλιο του 2025, με νέες επεκτάσεις να ανεβαίνουν στο κατάστημα πρόσθετων του Firefox μόλις την περασμένη εβδομάδα. Οι κακόβουλες αυτές επεκτάσεις έχουν βρεθεί να φουσκώνουν τεχνητά τη δημοτικότητά τους, προσθέτοντας εκατοντάδες κριτικές 5 αστέρων που υπερβαίνουν κατά πολύ τον συνολικό αριθμό των ενεργών εγκαταστάσεων. Αυτή η στρατηγική χρησιμοποιείται για να δώσει την ψευδαίσθηση της αυθεντικότητας, κάνοντας να φαίνεται ότι είναι ευρέως υιοθετημένες και παραπλανώντας ανυποψίαστους χρήστες να τις εγκαταστήσουν.
Αντιγραφή και κακόβουλη τροποποίηση
Μια άλλη τακτική που υιοθετήθηκε από τον επιτιθέμενο για να ενισχύσει την εμπιστοσύνη είναι η παρουσίαση αυτών των πρόσθετων ως νόμιμα εργαλεία πορτοφολιών, χρησιμοποιώντας τα ίδια ονόματα και λογότυπα. Το γεγονός ότι μερικές από τις πραγματικές επεκτάσεις ήταν ανοιχτού κώδικα επέτρεψε στους επιτιθέμενους να κλωνοποιήσουν τον πηγαίο κώδικα και να εισάγουν τη δική τους κακόβουλη λειτουργικότητα για να εξάγουν κλειδιά πορτοφολιών και φράσεις σπόρων από στοχευμένες ιστοσελίδες και να τα εξάγουν σε έναν απομακρυσμένο διακομιστή. Οι κακόβουλες επεκτάσεις έχουν επίσης βρεθεί να μεταδίδουν τις εξωτερικές διευθύνσεις IP των θυμάτων.
Δυσκολίες ανίχνευσης
Σε αντίθεση με τις τυπικές απάτες phishing που βασίζονται σε ψεύτικες ιστοσελίδες ή email, αυτές οι επεκτάσεις λειτουργούν μέσα στο πρόγραμμα περιήγησης του χρήστη, καθιστώντας τις πολύ πιο δύσκολες να εντοπιστούν ή να μπλοκαριστούν με τα παραδοσιακά εργαλεία τερματικού. “Αυτή η προσέγγιση χαμηλής προσπάθειας και υψηλής επίδρασης επέτρεψε στον επιτιθέμενο να διατηρήσει την αναμενόμενη εμπειρία χρήστη ενώ μείωσε τις πιθανότητες άμεσης ανίχνευσης,” δήλωσε ο Ronen.
Ρωσική σύνδεση
Η παρουσία σχολίων στη ρωσική γλώσσα στον πηγαίο κώδικα, καθώς και μεταδεδομένα που αποκτήθηκαν από ένα αρχείο PDF που ανακτήθηκε από τον διακομιστή ελέγχου και εντολών (C2) που χρησιμοποιήθηκε για τη δραστηριότητα, δείχνουν μια ομάδα επιτιθέμενων που μιλούν ρωσικά.
Αντιμετώπιση της απειλής
Όλες οι εντοπισμένες προσθήκες, με εξαίρεση το MyMonero Wallet, έχουν πλέον αφαιρεθεί από τη Mozilla. Τον περασμένο μήνα, ο κατασκευαστής του προγράμματος περιήγησης ανέφερε ότι έχει αναπτύξει ένα “σύστημα έγκαιρης ανίχνευσης” για να εντοπίζει και να μπλοκάρει τις απάτες με επεκτάσεις πορτοφολιών κρυπτονομισμάτων προτού αυτές αποκτήσουν δημοτικότητα μεταξύ των χρηστών και χρησιμοποιηθούν για να κλέψουν τα περιουσιακά στοιχεία των χρηστών παραπλανώντας τους να εισάγουν τα διαπιστευτήριά τους.
Συμβουλές για ασφάλεια
Για να μειωθεί ο κίνδυνος που προκαλούν τέτοιες απειλές, συνιστάται να εγκαθιστάτε επεκτάσεις μόνο από επαληθευμένους εκδότες και να τις ελέγχετε ώστε να διασφαλίζεται ότι δεν αλλάζουν σιωπηλά τη συμπεριφορά τους μετά την εγκατάσταση.
