Cybersicherheitsexperten von Koi Security haben eine groß angelegte Betrugsoperation aufgedeckt, die gezielt Firefox-Nutzer ins Visier nimmt. Über 40 bösartige Browser-Erweiterungen wurden im offiziellen Mozilla Add-ons Store identifiziert, die sich als legitime Kryptowährungs-Wallets tarnen und sensible Nutzerdaten abfangen. Diese Entdeckung unterstreicht die wachsende Bedrohung durch sophisticated Malware-Kampagnen im Bereich digitaler Assets.
Perfekte Imitation beliebter Krypto-Wallets
Die Angreifer demonstrierten außergewöhnliche Raffinesse bei der Erstellung ihrer gefälschten Erweiterungen. Betroffen sind Nachbildungen der populärsten Kryptowährungs-Wallets, darunter Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr und MyMonero. Jede dieser Fälschungen enthält speziell entwickelten Schadcode, der darauf ausgelegt ist, Benutzerdaten zu kompromittieren und an die Kontrolle der Cyberkriminellen zu übertragen.
Besonders bemerkenswert ist die Verwendung von Open-Source-Code legitimer Wallet-Anwendungen als Grundlage für die Malware. Diese Strategie ermöglichte es den Angreifern, nahezu identische Kopien zu erstellen, die sich optisch und funktional kaum von den Originalanwendungen unterscheiden, jedoch mit versteckten schädlichen Funktionen ausgestattet sind.
Technische Analyse der Angriffsmethoden
Die technische Umsetzung der Attacke offenbart ein hohes Maß an Professionalität seitens der Cyberkriminellen. Die Schadsoftware nutzt spezielle Event-Handler für Input- und Click-Ereignisse, die kontinuierlich Benutzereingaben überwachen und nach vertraulichen Informationen suchen.
Der Algorithmus der Malware analysiert eingegebene Zeichenketten mit einer Länge von mehr als 30 Zeichen, um potenzielle Private Keys und Seed-Phrasen zu identifizieren. Nach der Erkennung solcher Daten erfolgt deren sofortige Übertragung an die Betreiber der Angriffskampagne über verschleierte Kommunikationskanäle.
Zur Verschleierung ihrer Aktivitäten implementierten die Malware-Entwickler eine ausgeklügelte Tarnungstechnik. Alle Fehlerdialoge und Warnmeldungen werden vor den Nutzern verborgen, indem die Transparenz auf null gesetzt wird (opacity: 0), was eine visuelle Erkennung verdächtiger Aktivitäten praktisch unmöglich macht.
Umfang und Dauer der Bedrohungskampagne
Die Untersuchung ergab, dass diese Malware-Kampagne seit April 2025 aktiv ist, wobei die Angreifer kontinuierlich neue gefälschte Erweiterungen in den Firefox-Store einschleusen. Die neuesten Malware-Samples wurden erst in der vergangenen Woche hinzugefügt, was auf die anhaltende Aktivität der Bedrohungsakteure hinweist.
Um das Vertrauen der Nutzer zu gewinnen, setzen die Cyberkriminellen verschiedene Social-Engineering-Techniken ein. Neben der Verwendung offizieller Logos bekannter Marken weisen viele Erweiterungen Hunderte von gefälschten positiven Bewertungen auf, deren Anzahl oft die tatsächliche Installationszahl übersteigt.
Mozilla’s Reaktion und Sicherheitsmaßnahmen
Nach der Benachrichtigung durch die Koi Security-Experten ergriff Mozilla umgehende Maßnahmen zur Eindämmung der Bedrohung. Vertreter des Unternehmens bestätigten das Bewusstsein für das Problem und kündigten den Beginn des Entfernungsprozesses der schädlichen Erweiterungen an.
Bemerkenswert ist, dass Mozilla kurz vor der Entdeckung dieser Kampagne ein neues Frühwarnsystem für Kryptowährungs-Betrugs-Add-ons eingeführt hatte. Das System erstellt Risikoprofile für jede Wallet-Erweiterung und warnt Moderatoren automatisch vor potenziellen Bedrohungen, wenn ein bestimmter Verdachtsschwellenwert erreicht wird.
Dieser Vorfall verdeutlicht die kritische Bedeutung einer gründlichen Überprüfung von Browser-Erweiterungen vor der Installation, insbesondere solcher, die mit Kryptowährungs-Assets arbeiten. Nutzer sollten Erweiterungen ausschließlich aus offiziellen Quellen herunterladen, Bewertungen sorgfältig prüfen und die Authentizität der Entwickler verifizieren, bevor sie Add-ons installieren, die mit der Verwaltung digitaler Assets in Verbindung stehen. Eine gesunde Skepsis und regelmäßige Sicherheitsüberprüfungen sind essentiell für den Schutz vor solchen raffinierten Betrugskampagnen.
