תומאס דניאלס
יותר מ-40 תוספי דפדפן מזויפים שתוכננו עבור מוזילה פיירפוקס נקשרו לקמפיין פישינג מתמשך המכוון למשתמשי מטבעות קריפטוגרפיים, כך עולה מדו"ח שפורסם ביום רביעי על ידי חברת אבטחת הסייבר Koi Security.
תוספים זדוניים אלה מתחזים לארנקי קריפטו נפוצים - כולל Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero ו-Bitget - במטרה היחידה לגנוב את פרטי הארנק של המשתמשים. לאחר ההתקנה, התוספים מחלצים נתוני אימות רגישים מאתרים ממוקדים ומעבירים אותם לשרתים מרוחקים הנמצאים תחת שליטת התוקף.
"עד כה, הצלחנו לקשר מעל 40 הרחבות שונות לקמפיין הזה, שעדיין מתמשך וחי מאוד", דיווחה Koi Security.
המבצע, שנמשך לפחות מאז אפריל, עדיין בעיצומו. התוספים האחרונים הועלו רק בשבוע שעבר, דבר המצביע על מעורבות פעילה ומתמשכת של גורמי איום.
הנדסה חברתית בקנה מידה גדול
חברת Koi Security ציינה כי הקמפיין משתמש בעיצובים משכנעים של ממשק משתמש, לוגואים שנראים אותנטיים ופונקציונליות משוכפלת מספקי ארנקים לגיטימיים. במספר מקרים, תוקפים עשו שימוש חוזר בקוד קוד פתוח מהרחבות רשמיות, תוך הטמעת רכיבים זדוניים כדי לחקות את חוויית המשתמש המקורית תוך פגיעה שקטה באבטחה.
תוסף מטעה אחד במיוחד גרף מאות ביקורות מפוברקות של חמישה כוכבים, טקטיקה שמטרתה לחזק את האמינות ולפתות משתמשים תמימים.
"גישה זו, הדורשת מאמץ נמוך ובעלת השפעה גבוהה, אפשרה לשחקן לשמור על חוויית המשתמש הצפויה תוך הפחתת הסיכויים לגילוי מיידי."
ראיות מצביעות על קבוצה דוברת רוסית
בעוד שייחוס סופי לבעיה נותר חמקמק, חברת Koi Security הדגישה אינדיקטורים המצביעים על מעורבות של קבוצת איום דוברת רוסית. אלה כוללים הערות קוד בשפה הרוסית ומטא-דאטה שהתגלו במסמך PDF שאוחזר משרת פיקוד ובקרה המשויך לתוכנה הזדונית.
"למרות שאינם חד משמעיים, ממצאים אלה מצביעים על כך שהקמפיין עשוי להגיע מקבוצת גורמי איום דוברי רוסית."
