GreedyBear зарази Firefox. Милион долара изчезнаха заедно с частните ключове
ИИ, троянски коне и милиони долари: по какъв начин да спрем тази зараза?
Мащабната акция GreedyBear е проникнала в магазина за разширения на Mozilla, като е заразила Firefox със 150 зловредни разширения и е откраднала близо един милион $ от потребителите. Според Koi Security нападателите са маскирали софтуера си като известни портфейли за криптовалути MetaMask, TronLink и Rabby. На първия стадий в магазина са били качени предпазени версии, които са минали през модерация и са събрали подправени позитивни мнения. След това създателите са трансформирали имената, логото и са внедрили код за кражба на данни.
Модифицираните разширения са прихващали въвеждането на данни във формулярите и изскачащите прозорци, като са изпращали откраднатите ключове и IP адресите на жертвите към далечен сървър. Според представителя на Koi Security Тувал Адмони кодът е улавял идентификационните данни непосредствено в интерфейса на самото уголемение и при инициализиране е изпращал IP адреса за възможна идентификация или избор на цел.
Кампанията е била подкрепена от мрежа от уеб страници за пиратски програмен продукт, които са популяризирали към 500 зловредни изпълними файла. Освен това са употребявани подправени страници, представящи се за Trezor, Jupiter Wallet и фиктивни „ работилници “ за възобновяване на криптовалути. Тези запаси са разпространявали троянски коне, крадци на данни като LummaStealer и даже рансъмуер. Всички те са водели до еднакъв IP адрес, който е работил като надзорен център.
Koi Security съобщи данните на Mozilla и злонамерените разширения бяха отстранени от каталога, само че мащабът и лекотата на осъществяване демонстрираха по какъв начин изкуственият разсъдък оказва помощ на нарушителите бързо да създават и уголемяват сходни схеми. Анализът на кода разкри признаци на автоматизирано генериране, което разрешава на нападателите да трансформират потребния товар по-бързо и да заобикалят откриването.
Firefox към този момент се сблъска с сходна офанзива предишния месец, като повече от 40 подправени разширения копираха добре познатите криптопортфейли Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Това се случи, макар че Mozilla внедри система за разкриване на такива добавки през юни 2025 година
Изследователите означават, че GreedyBear може да се популяризира отвън Firefox – в уеб магазина на Chrome към този момент е намерено злонамерено уголемение Filecoin Wallet, което употребява същия код за кражба на данни и комуникира със същия сървър. Експертите поучават да изтегляте портфейли единствено посредством линкове от формалните уеб уеб сайтове и деликатно да проверявате информацията и отзивите на разработчика.
