Ove ekstenzije se predstavljaju kao legitimni alati za novčanike popularnih platformi kao što su Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet i Filfox, rekli su istraživači.
Prema njihovim podacima, ova kampanja traje najmanje od aprila 2025. godine, a nove sumnjive ekstenzije su u Firefox Add-ons prodavnici otkrivene i prošle nedjelje.
Popularnost ekstenzija je često lažna jer im se dodaju stotine lažnih ocjena sa 5 zvijezdica, koje višestruko premašuju broj stvarnih korisnika. Na taj način stvara se iluzija da su ekstenzije bezbjedne i da ih koristi veliki broj ljudi, pa se korisnici lakše odlučuju da ih instaliraju.
Napadači u tom cilju koriste iste nazive i logoe zvaničnih verzija novčanika. U slučajevima kada su legitimne ekstenzije otvorenog koda, napadači su jednostavno kopirali originalni izvorni kod, ubacili svoj dio koji izdvaja ključeve i seed fraze sa ciljanih sajtova i prosljeđuje ih na njihov server.
Za razliku od tipičnih fišing prevara koje se oslanjaju na lažne sajtove ili mejlove, ove ekstenzije funkcionišu direktno u korisnikovom pregledaču, što otkrivanje tradicionalnim alatima za zaštitu na uređaju čini mnogo težim.
– Ovaj pristup sa malo truda, a velikim učinkom, omogućio je napadačima da zadrže očekivano korisničko iskustvo i smanje šansu da odmah budu otkriveni – navodi se u izveštaju Koi Security.
Istraživači su u izvornom kodu pronašli komentare na ruskom jeziku, kao i metapodatke iz PDF fajla preuzetog sa komandno-kontrolnog (C2) servera, koji ukazuju na to da iza ove kampanje stoje ruski sajber kriminalci.
Sve ekstenzije, osim MyMonero Wallet-a, Mozilla je u međuvremenu uklonila. Prošlog mjeseca kompanija je najavila da je razvila sistem za ranu detekciju, koji bi trebalo da otkrije i blokira lažne kripto ekstenzije prije nego što postanu popularne i počnu da kradu kriptovalutu od korisnika.
Stručnjaci savjetuju da ekstenzije uvijek preuzimate samo od provjerenih izdavača, kao i da pratite da li mijenjaju ponašanje nakon instalacije, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu