网络安全公司Koi Security周三(7月2日)发布报告称,已有40多款针对流行浏览器Mozilla Firefox开发的虚假扩展程序,被关联到一项正在进行的加密货币盗窃恶意软件行动。
据悉,这一大规模网络钓鱼行动部署了伪装成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、MyMonero、Bitget等主流钱包工具的扩展程序。用户一旦安装,这些恶意扩展便会窃取其钱包凭据。
Koi Security表示:“截至目前,我们已将40多款不同扩展程序与该行动关联,且该攻击仍在持续。”
Koi Security指出,该行动自今年四月起至少已在进行,最近一批扩展程序于上周上传。报告称,这些扩展会直接从目标网站窃取钱包凭据,并上传至攻击者控制的远程服务器。
恶意软件通过界面设计诱导用户信任
报告显示,该行动通过虚假评分、评论、仿冒品牌形象以及功能伪装等方式,提升扩展的可信度。其中一款应用甚至拥有数百条虚假的五星好评。
这些虚假扩展还采用与真实服务相同的名称和标志。在多起案例中,威胁行为者还利用官方扩展的开源代码,克隆应用并植入恶意代码:“这种低投入高回报的方式,让攻击者既能维持用户预期的使用体验,又能降低被立即发现的风险。”
疑似俄语威胁组织主导
Koi Security指出,“目前归因尚不确定”,但“多项迹象指向俄语威胁组织”。这些迹象包括代码中的俄语注释,以及从相关恶意软件指挥控制服务器中获取的PDF文件元数据:“虽然尚无定论,但这些痕迹表明该行动可能源自俄语威胁组织。”
为降低风险,Koi Security建议用户仅从经过验证的发布者处安装浏览器扩展。同时,应将扩展程序视为完整的软件资产,采用白名单机制,并持续监控任何异常行为或更新。