Chiến dịch trộm cắp tiền điện tử đang diễn ra nhắm vào người dùng Firefox bằng tiện ích mở rộng ví độc hại

Một chiến dịch tội phạm mạng lan rộng đang tích cực nhắm vào người dùng Mozilla Firefox với hơn 40 tiện ích mở rộng trình duyệt giả mạo được thiết kế để đánh cắp thông tin đăng nhập ví tiền điện tử, trong đó các tiện ích mở rộng mới nhất vừa được tải lên vào tuần trước.

Theo báo cáo do công ty an ninh mạng Koi Security công bố, các tiện ích bổ sung độc hại này thường sử dụng chiến thuật mạo danh các ví tiền điện tử phổ biến như Coinbase, MetaMask, Trust Wallet để lừa những nạn nhân nhẹ dạ cả tin.

Những kẻ tấn công đã sử dụng nhiều chiến thuật tinh vi để đánh lừa người dùng và tránh bị phát hiện.

Nhiều tiện ích mở rộng giả mạo này sử dụng các đánh giá năm sao giả mạo, trong đó có một ứng dụng có đến hàng trăm đánh giá năm sao giả mạo.

Các tiện ích mở rộng giả mạo cũng thường sử dụng tên và logo giống hệt với dịch vụ thật mà chúng cố gắng bắt chước.

Điều này tạo ra ảo giác về tính xác thực và khả năng áp dụng rộng rãi, làm tăng khả năng người dùng thiếu cảnh giác sẽ cài đặt phần mềm độc hại.

Trong một số trường hợp, kẻ tấn công đã sao chép cơ sở mã nguồn mở của tiện ích mở rộng ví chính hãng, thêm mã độc hại của riêng chúng để đánh cắp dữ liệu nhạy cảm.

"Cách tiếp cận ít tốn công sức, tác động cao này cho phép tác nhân duy trì trải nghiệm người dùng mong đợi đồng thời giảm khả năng bị phát hiện ngay lập tức."

Sau khi cài đặt, các tiện ích mở rộng này sẽ trích xuất thông tin đăng nhập ví trực tiếp từ các trang web mục tiêu và truyền chúng đến các máy chủ từ xa do kẻ tấn công kiểm soát.

Bằng chứng chỉ ra những kẻ đe dọa nói tiếng Nga

Cuộc điều tra của Koi Security cho thấy chiến dịch này có nhiều dấu hiệu cho thấy có thể liên quan đến các tác nhân đe dọa nói tiếng Nga.

Một trong những dấu hiệu này là việc sử dụng các bình luận bằng tiếng Nga được nhúng trong mã độc, cũng như siêu dữ liệu trong các tệp được lấy từ máy chủ chỉ huy và kiểm soát của kẻ tấn công.

"Mặc dù chưa có kết luận chắc chắn, những hiện vật này cho thấy chiến dịch này có thể bắt nguồn từ một nhóm tin tặc nói tiếng Nga."

Để giảm thiểu nguy cơ bị đánh cắp thông tin đăng nhập, Koi Security khuyến cáo người dùng chỉ nên cài đặt tiện ích mở rộng trình duyệt từ các nhà phát hành đã được xác minh.

Công ty cũng khuyến nghị nên coi tất cả các tiện ích mở rộng là tài sản phần mềm đầy đủ, duy trì danh sách cho phép chặt chẽ và thường xuyên theo dõi các hành vi bất ngờ hoặc cập nhật trái phép.