Les acteurs de la menace ont employé environ 150 extensions de Firefox malveillantes pour voler des titres d’identification de portefeuille de crypto-monnaie, ce qui a entraîné un million de dollars volé aux victimes. Ce schéma, identifié comme «GreedyBear» par KOI Security, exploité en usurpant les extensions de portefeuille de crypto-monnaie légitimes dans le magasin des modules complémentaires de Firefox.
Les extensions malveillantes sont initialement apparues comme des outils bénignes de portefeuille de crypto-monnaie. Les attaquants ont téléchargé ces extensions avec une image de marque cohérente avec les plates-formes établies, notamment Metamask, Tronlink et Rabby. Ces versions initiales ont également accumulé des revues positives ont fabriqué leur légitimité perçue. Par la suite, les attaquants ont modifié ces extensions en modifiant les noms et les logos, puis ont injecté du code malveillant. Cette transformation a converti les extensions en KeyLoggers.
Les extensions compromises ont été conçues pour capturer les entrées de champ de formulaire saisies par les utilisateurs. De plus, ces extensions malveillantes ont enregistré les adresses IP externes des victimes. Les informations recueillies par ces KeyLoggers ont ensuite été transmises aux serveurs contrôlés par les attaquants. Mozilla a depuis supprimé les logiciels malveillants identifiés du magasin de modules complémentaires Firefox, comme indiqué par Bleeping Computer.
Les chercheurs ont également identifié une expansion potentielle de la campagne GreedyBear dans la boutique en ligne Chrome. Cette extension possible est liée à une extension nommée portefeuille Filecoin. Il est conseillé aux utilisateurs de faire preuve de prudence avant d’installer des extensions de navigateur. Les précautions recommandées comprennent l’examen des commentaires des utilisateurs au-delà des notes des étoiles, l’examen de l’historique de la version de l’extension et l’étude d’autres projets associés au développeur pour toute activité suspecte.
Pour les extensions de portefeuille de crypto-monnaie spécifiquement, une méthode plus sécurisée que la recherche directement dans les magasins complémentaires de navigateur implique de naviguer vers le site officiel du projet de crypto-monnaie. Les extensions légitimes sont généralement liées directement à partir de ces sites Web officiels de projet, fournissant une source vérifiée pour l’installation.
