Кампания FoxyWallet раскрывает более 40 вредоносных расширений Firefox, нацеленных на пользователей криптовалют

Фирма по обеспечению безопасности цепочки поставок программного обеспечения Безопасность Кои выявил продолжающуюся крупномасштабную вредоносную кампанию с участием многочисленных поддельных Firefox Расширения браузера, предназначенные для захвата учетных данных криптовалютного кошелька. Эти расширения имитируют легитимные инструменты, связанные с известными платформами, включая Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.

После установки расширения скрытно извлекают конфиденциальную информацию из кошелька, представляя значительную угрозу для активов пользователя. На данный момент расследование связало более 40 различных расширений с одной и той же кампанией, которая остается активной. Некоторые из этих расширений по-прежнему доступны через официальные каналы распространения. Выявление кампании стало возможным благодаря анализу общих тактик, методов, процедур (TTP) и общей инфраструктуры.

Данные указывают на то, что операция ведется по крайней мере с апреля 2025 года, а новые вредоносные загрузки в магазин дополнений Firefox наблюдались еще на прошлой неделе. Постоянное появление этих расширений указывает на устойчивую и развивающуюся угроза . Вредоносное ПО атакует пользователей, собирая учетные данные кошелька непосредственно с указанных веб-сайтов и передавая их на удаленный сервер, которым управляет злоумышленник. Кроме того, расширения отправляют внешний IP-адрес жертвы на начальном этапе выполнения, вероятно, для отслеживания или нацеливания.

Вредоносные расширения Firefox имитируют надежные инструменты кошелька и завышают отзывы, чтобы обойти обнаружение и увеличить количество установок

Эта кампания использует стандартные сигналы доверия, которые обычно встречаются на рынках расширений браузера, такие как оценки пользователей, отзывы, знакомый брендинг и функциональная производительность, чтобы повысить доверие и увеличить скорость загрузки. Известная стратегия включала искусственное повышение оценок отзывов; многие из вредоносных расширений featured необычно большое количество пятизвездочных отзывов, не соответствующих их реальной пользовательской базе. Это создает видимость всеобщего одобрения и надежности, что может повлиять на решения пользователей на таких платформах, как магазин дополнений Mozilla.

Атакующий также скопировал визуальный брендинг легитимных инструментов кошелька, включая точные названия и логотипы, что делает поддельные версии трудноотличимыми от подлинных. Такой подход повышает вероятность непреднамеренных загрузок пользователями, ищущими настоящий сервис. Во многих случаях злоумышленник использовал версии официальных расширений с открытым исходным кодом, дублируя легитимный код и интегрируя вредоносные компоненты. В результате расширения сохраняли ожидаемую функциональность, при этом тихо изымая конфиденциальные данные, что позволило кампании достичь эффекта с относительно минимальными усилиями по разработке и сниженным первоначальным риском обнаружения.

Индикаторы связывают вредоносную кампанию с русскоязычным злоумышленником, эксперты призывают к более строгим мерам безопасности

Несмотря на то, что definitive атрибуция не установлена, несколько индикаторов указывают на причастность русскоязычного субъекта угрозы. К ним относятся русскоязычные комментарии, идентифицированные в коде расширения, и метаданные, извлеченные из PDF-документа, размещенного на сервере управления и контроля, связанном с кампанией. Хотя эти элементы не являются окончательными, они в совокупности подразумевают возможное происхождение, связанное с русскоязычной группой.

Лучшие практики реагирования на эту активность включают установку расширений исключительно из проверенных источников и сохранение осторожности даже при высоких рейтингах расширений. Расширения браузера следует рассматривать как полноценные программные компоненты, требующие соответствующей проверки, контроля политик и постоянного надзора. Организациям рекомендуется внедрять списки разрешенных расширений, ограничивая установку предварительно одобренными и проверенными инструментами, а также применять стратегии непрерывного мониторинга, поскольку расширения могут автоматически обновляться и изменять поведение после развертывания без ведома пользователя.