توماس دانیلز
بر اساس گزارشی که روز چهارشنبه توسط شرکت امنیت سایبری Koi Security منتشر شد، بیش از ۴۰ افزونهی جعلی مرورگر که برای موزیلا فایرفاکس طراحی شدهاند، به یک کمپین فیشینگ مداوم که کاربران ارزهای دیجیتال را هدف قرار میدهد، مرتبط بودهاند.
این افزونههای مخرب، کیف پولهای رمزنگاریشدهی پرکاربرد - از جمله Coinbase، MetaMask، Trust Wallet، Phantom، Exodus، OKX، MyMonero و Bitget - را جعل میکنند و تنها هدفشان سرقت اطلاعات کیف پول کاربران است. پس از نصب، این افزونهها دادههای احراز هویت حساس را از وبسایتهای هدف استخراج کرده و آن را به سرورهای راه دور تحت کنترل مهاجم منتقل میکنند.
کوی سکیوریتی گزارش داد: «تاکنون، ما توانستهایم بیش از ۴۰ افزونهی مختلف را به این کمپین که هنوز ادامه دارد و بسیار فعال است، مرتبط کنیم.»
این عملیات که حداقل از ماه آوریل فعال بوده است، همچنان در حال انجام است. جدیدترین افزونهها همین هفته گذشته آپلود شدهاند که نشان دهنده مشارکت فعال و مداوم عامل تهدید است.
مهندسی اجتماعی در مقیاس بزرگ
شرکت امنیتی کوی (Koi Security) خاطرنشان کرد که این کمپین از طراحیهای رابط کاربری متقاعدکننده، لوگوهای با ظاهر واقعی و قابلیتهای شبیهسازیشده از ارائهدهندگان کیف پول قانونی استفاده میکند. در چندین مورد، مهاجمان از کد منبع باز افزونههای رسمی مجدداً استفاده کردند و اجزای مخرب را برای تقلید از تجربه کاربری اصلی در آن جاسازی کردند، در حالی که بیسروصدا امنیت را به خطر میانداختند.
یکی از افزونههای بهخصوص فریبنده، صدها نظر پنج ستاره جعلی جمعآوری کرد، تاکتیکی که با هدف تقویت اعتبار و فریب کاربران ناآگاه انجام شد.
«این رویکرد کمزحمت و پراثر به عامل نفوذی اجازه داد تا تجربه کاربری مورد انتظار را حفظ کند و در عین حال احتمال شناسایی فوری را کاهش دهد.»
شواهد به گروهی روسی زبان اشاره دارد
در حالی که انتساب قطعی همچنان مبهم است، شرکت امنیتی کوی (Koi Security) نشانههایی را برجسته کرده است که نشان میدهد یک گروه تهدید روسی زبان در این حمله دست داشته است. این نشانهها شامل کامنتهای کد به زبان روسی و فرادادههای کشف شده در یک سند PDF بازیابی شده از یک سرور فرمان و کنترل مرتبط با این بدافزار است.
«اگرچه قطعی نیست، اما این شواهد نشان میدهد که این کمپین ممکن است از یک گروه تهدید روسیزبان سرچشمه گرفته باشد.»
