Експерти кібербезпеки з компанії Koi Security виявили масштабну загрозу для користувачів Firefox. Понад 40 шахрайських розширень були розміщені в офіційному магазині Mozilla, імітуючи відомі криптовалютні гаманці та викрадаючи конфіденційні дані користувачів.
Методика створення підроблених криптогаманців
Кіберзлочинці продемонстрували високий рівень технічної підготовки, створюючи копії найпопулярніших криптовалютних гаманців. Серед імітованих брендів виявлено Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr та MyMonero. Кожне підроблене розширення містило спеціально розроблений код для перехоплення та передачі викрадених даних на сервери зловмисників.
Особливістю цієї атаки стало використання відкритого вихідного коду легітимних гаманців як основи для створення шахрайських клонів. Така тактика дозволила створити практично ідентичні оригіналу розширення з прихованою шкідливою функціональністю.
Технічні особливості вредоносного коду
Аналіз шкідливого програмного забезпечення розкриває складну систему моніторингу користувацької активності. Вредоносні розширення використовують обробники подій input та click, які постійно відстежують введення користувача для виявлення конфіденційних даних.
Алгоритм роботи малвару включає аналіз введених рядків довжиною понад 30 символів, що дозволяє ідентифікувати потенційні приватні ключі гаманців та seed-фрази. Після виявлення таких даних відбувається їх миттєва передача операторам вредоносної кампанії.
Для приховування своєї діяльності розробники використали витончену техніку маскування. Всі діалоги помилок та попередження приховані від користувачів шляхом встановлення прозорості на нуль (opacity: 0), що унеможливлює візуальне виявлення підозрілої активності.
Масштаби та тривалість кіберкампанії
Дослідження показало, що дана вредоносна кампанія активна з квітня 2025 року. Зловмисники постійно поповнюють магазин Firefox новими підробленими розширеннями, при цьому найсвіжіші зразки малвару були додані минулого тижня.
Для підвищення довіри користувачів кіберзлочинці застосовують кілька прийомів соціальної інженерії. Окрім копіювання офіційних логотипів відомих брендів, багато розширень мають сотні підроблених позитивних відгуків, кількість яких часто перевищує реальну кількість встановлень.
Реакція Mozilla та нові заходи безпеки
Після повідомлення від експертів Koi Security компанія Mozilla вжила екстрених заходів для усунення загрози. Представники організації підтвердили обізнаність про проблему та заявили про початок процесу видалення вредоносних розширень.
Примітно, що незадовго до виявлення цієї кампанії Mozilla представила нову систему раннього виявлення аддонів, пов’язаних з криптовалютним шахрайством. Система створює профілі ризику для кожного розширення-гаманця та автоматично попереджає модераторів про потенційні загрози при досягненні певного порогу підозрілості.
Рекомендації для користувачів
Цей інцидент підкреслює критичну важливість ретельної перевірки розширень браузера перед їх встановленням. Особливу увагу слід приділяти аддонам, які працюють з криптовалютними активами. Експерти рекомендують завантажувати розширення виключно з офіційних джерел, уважно вивчати відгуки та перевіряти автентичність розробника.
Користувачам криптовалют варто регулярно оновлювати програмне забезпечення, використовувати багатофакторну автентифікацію та зберігати великі суми в апаратних гаманцях. Такі заходи значно знижують ризики втрати цифрових активів внаслідок кіберзлочинів та підвищують загальний рівень безпеки криптовалютних операцій.
