افزونه‌های جعلی فایرفاکس در کمین رمزارز شما؛ شناسایی بیش از ۴۰ ابزار مخرب

نکات مهم خبر

• بیش از ۴۰ افزونه تقلبی با ظاهر کیف پول‌های مشهور مانند متامسک و کوین‌بیس، اطلاعات کاربران را سرقت می‌کنند.
• این حملات به صورت سازمان‌یافته با سوءاستفاده از کدهای متن‌باز، نظرات جعلی و طراحی مشابه افزونه‌های اصلی انجام شده است.
• ردپای مهاجمان روس زبان در کدها و فایل‌های مربوط به این بدافزار دیده شده است. کاربران باید فقط از منابع رسمی افزونه نصب کنند.

بیش از ۴۰ افزونه (Extension) جعلی برای مرورگر معروف موزیلا فایرفاکس، با یک کمپین فعال بدافزاری که هدفش دزدیدن ارز دیجیتال کاربران است، شناسایی شده‌اند. این موضوع را شرکت امنیت سایبری Koi Security در گزارشی که چهارشنبه منتشر کرد اعلام کرده است.

این کمپین فیشینگ گسترده، از افزونه‌هایی استفاده می‌کند که خودشان را به‌جای کیف پول‌های معروفی مثل Coinbase، MetaMask، Trust Wallet، Phantom، Exodus، OKX، MyMonero، Bitget و چند مورد دیگر جا می‌زنند. این افزونه‌ها بعد از نصب شدن، اطلاعات ورود به کیف پول کاربران را سرقت می‌کنند.

شرکت Koi Security گفت:

ما تا الان توانسته‌ایم بیش از ۴۰ افزونه مختلف که با این کمپین مرتبط بودند را شناسایی کنیم. این حملات همچنان فعال هستند و متوقف نشده‌اند.

به گفته این شرکت، این کمپین حداقل از ماه آوریل شروع شده و جدیدترین افزونه‌های مخرب هم در هفته گذشته بارگذاری شده‌اند. این افزونه‌ها اطلاعات ورود کاربران را مستقیماً از سایت‌های هدف جمع‌آوری کرده و به یک سرور خارجی که در اختیار هکرهاست ارسال می‌کنند.

طراحی گول‌زننده برای جلب اعتماد کاربران

طبق این گزارش، این افزونه‌های جعلی با استفاده از امتیاز بالا، نظرات ساختگی، ظاهر برندها و عملکردی که طبیعی به نظر می‌رسد، اعتماد کاربران را جلب می‌کنند. یکی از این افزونه‌ها صدها نظر ۵ ستاره جعلی داشت.

همچنین، این افزونه‌ها دقیقاً از اسم و لوگوی نسخه‌های اصلی استفاده کرده‌اند. در چند مورد، حتی کد منبع باز افزونه‌های رسمی را کپی کرده‌اند و فقط کدهای مخرب را به آن اضافه کرده‌اند:

این روش که هم ساده است و هم مؤثر، باعث می‌شود تجربه کاربری واقعی به نظر برسد و کاربران متوجه خطر نشوند.

احتمال دست داشتن هکرهای روس زبان

شرکت Koi Security گفته هنوز نمی‌توان با اطمینان کامل گفت این حمله کار چه کسی بوده، اما نشانه‌هایی وجود دارد که احتمال می‌دهد این کمپین توسط گروهی روس زبان انجام شده باشد. از جمله این نشانه‌ها، می‌توان به نظرات روسی در کدهای برنامه و اطلاعاتی در یک فایل PDF اشاره کرد که از یکی از سرورهای کنترل این بدافزار به دست آمده است:

اگرچه قطعیت ندارد، اما این شواهد نشان می‌دهد که این کمپین ممکن است توسط یک گروه روس زبان انجام شده باشد.

توصیه‌های امنیتی

برای کاهش خطر، Koi Security به کاربران توصیه کرده که افزونه‌ها را فقط از منابع معتبر و ناشران رسمی نصب کنند. همچنین پیشنهاد می‌شود که با افزونه‌ها مثل یک نرم‌افزار کامل برخورد شود، یعنی از لیست سفید استفاده شود (لیست افزونه‌های مجاز) و هر نوع رفتار یا آپدیت غیرعادی زیر نظر گرفته شود.