暗号資産を持っていてFirefoxを使用している場合、ハッカーがあなたを狙っています

サイバーセキュリティ企業Koi Securityは、偽のFirefox拡張機能を通じて暗号通貨ユーザーを標的にした大規模な悪意のあるキャンペーンを発見しました。

このキャンペーンには、広く使用されている暗号ウォレットツールを偽装する40以上の拡張機能が含まれています。

これには、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxが含まれます。インストールされると、これらの拡張機能はウォレットの資格情報を密かに盗み、攻撃者が制御するサーバーに盗み出すため、ユーザー資産がすぐに危険にさらされます。

暗号ユーザーのリスク

最新の投稿で、Koi Securityはこのキャンペーンが少なくとも2025年4月から活動していることを明らかにしました。実際、先週にはMozilla Add-onsストアに新しい詐欺的なアップロードが現れ、運営が進行中であり、適応性があり、持続的であることを示しています。

これらの拡張機能は、初期化中に被害者の外部IPアドレスを送信し、追跡やターゲティングのために使用される可能性があります。また、ターゲットサイトから直接ウォレットの秘密を抽出します。攻撃者は評価、レビュー、ブランディングをコピーすることで、自身の拡張機能を信頼できるように見せかけ、最終的にはより多くのユーザーがそれらをダウンロードすることにつながります。

多くの偽の拡張機能は、実際のユーザーベースを超える何百もの偽のポジティブレビューを持っており、これによりMozillaアドオンエコシステム内で広く採用されているように見え、信頼できるものとされていました。

いくつかのケースでは、攻撃者が実際のオープンソースのウォレット拡張機能をクローンし、期待される機能を維持しながら悪意のあるロジックを埋め込んでいることが発見されました。これは、検出を避け、シームレスなユーザーエクスペリエンスを確保するために行われ、疑いを持たれずに継続的な認証情報の窃盗を可能にする戦術でした。

Koi Securityの調査は、キャンペーンの共有インフラストラクチャや戦術、技術、手順(TTPs)を拡張機能にわたって追跡し、暗号エコシステム内での資格情報収集とユーザー追跡に焦点を当てた調整された作戦を明らかにしました。Firefoxユーザーに対しては、インストールされている拡張機能を直ちに確認し、疑わしいツールをアンインストールし、可能な場合はウォレットの資格情報を変更するよう促しました。

その企業はまた、特定された悪意のある拡張機能を削除し、このキャンペーンに関連するさらなるアップロードを監視するために、Mozillaとの積極的な協力を行っていると述べました。

キャンペーンコードのロシアの手がかり

証拠は、ロシア語を話す脅威グループがこのキャンペーンの背後にいる可能性があることを示唆しています。Koi Securityは、拡張機能のコードと制御サーバー上のPDFのメタデータに隠されたロシア語のノートを発見したと主張しています。

これらのヒントは最終的な証拠ではありませんが、操作を行っている可能性のあるロシア語のアクターを指し示しています。

最新の報告は、SlowMistによって検出された、偽のZoomミーティングリンクを使用して何百万もの資金を盗む可能性のあるロシア関連の暗号フィッシング詐欺の数ヶ月後に浮上しました。このブロックチェーンセキュリティ企業は、マルウェアの活動をオランダのサーバーに追跡しましたが、攻撃者のツールにはロシア語のスクリプトが見つかり、ロシア語を話すオペレーターがいる可能性を示唆しました。攻撃者はウォレットを排出し、盗まれた資産を主要な取引所でETHに変換しました。