FoxyWallet kampány
A FoxyWallet kampány egy több tucat hitelesen kinéző, de valójában kriptotárcalopásra készült Firefox-bővítményekre épülő adatlopási lánc. A Koi Security kutatói felfedeztek egy nagyszabású kampányt, amelyben több mint 40 Firefox-bővítményt töltöttek fel, úgy álcázva őket, mintha legitim kriptotárcákhoz (például Coinbase, MetaMask, Exodus, Trust Wallet, Phantom, OKX, Keplr, MyMonero) kapcsolódnának. Ezek az addonok nemcsak jól ismert logót és nevet használnak, de még hamis 5 csillagos értékeléssel is manipulálják a népszerűséget, hogy csalás gyanúja nélkül juthassanak be a felhasználókhoz.
A támadók az open‑source tárca‑kódok klónozásával szerelik fel teljes funkcionalitással, majd beléjük ágyazzák a lopási mechanizmusokat, amelyek célzottan lopják el a seed phrase‑eket és hozzáférési kulcsokat, valamint begyűjtik az áldozat IP‑címét további azonosítás céljából. Legalább április óta zajlik a művelet, és még az elmúlt hetekben is töltöttek fel kártevős kiegészítőket, amelyeket a Mozilla már elkezdett eltávolítani.
Az elemzők azonosították, hogy az elkövetők orosz nyelvű megjegyzéseket hagytak a kódban, valamint a C2 szervereken tárolt PDF‑ek metaadataiban is orosz nyelvű jelek bukkantak fel, ezért a fenyegetőcsoport nagy valószínűséggel orosz nyelvterületű szereplőkből áll.
A Mozilla szerint ez egy tipikus macska-egér játék a biztonsági rendszerük és a kártékony addon fejlesztők között, ugyan történtek javítások, de újabb és újabb kártevős bővítmények jelennek meg. Az addonok észrevétlenül települnek, nehéz használat közben felismerni őket, és a hagyományos antivírus- vagy endpoint-védelmi eszközök gyakran nem látják át az addonok belső működését.
