Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Обнаружены 150 расширений для Firefox, похитившие более 1 млн долларов у пользователей (http://txgate.io:443/showthread.php?t=51302480)

Artifact 08-08-2025 03:04 PM
<div id="post_message_808085">

Аналитики Koi Security <a href="https://medium.com/@tuval_49118/3e8628831a05" target="_blank">обнаружили </a>вредоносную кампанию GreedyBear, активную в магазине дополнений Mozilla. 150 вредоносных расширений для Firefox похитили у пользователей криптовалюту стоимостью более 1 млн долларов США.<br/>
<br/>
Мошеннические дополнения маскировались под популярные расширения криптокошельков известных платформ, включая MetaMask, TronLink, Exodus и Rabby Wallet. Изначально они загружались в магазин без вредоносного кода, чтобы пройти проверки, и какое-то время бездействовали, чтобы накопить фальшивые положительные отзывы.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/547291/add-on.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Расширение еще не стало вредоносным

</td>
</tr>
</table>
</div>На более позднем этапе атаки издатели расширений удаляли оригинальный брендинг и заменяли его на новые названия и логотипы, а также внедряли в код малварь, предназначенную для кражи данных кошельков и IP-адресов пользователей (вероятно, для отслеживания или таргетирования).<br/>
<br/>
Вредоносный код действовал как кейлоггер, перехватывая введенные данные из полей форм и всплывающих окон, а затем отправляя их на сервер злоумышленников.<br/>
<br/>
Специалисты Koi Security уведомили о своей находке разработчиков Mozilla, и в настоящее время вредоносные расширения удалены из магазина дополнений Firefox.<br/>
<br/>
Однако исследователи сообщают, что помимо расширений для Firefox в этой операции задействованы десятки русскоязычных сайтов с пиратским ПО, которые способствуют распространению 500 различных исполняемых файлов с малварью, а также сеть сайтов, выдающих себя за официальные ресурсы Trezor, Jupiter Wallet и фальшивые сервисы по ремонту аппаратных кошельков.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/547291/1Ud74NG0nUVohX18Rz_EVqA.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Фальшивый сайт Jupiter Wallet

</td>
</tr>
</table>
</div>Все эти сайты связаны с одним IP-адресом (185.208.156[.]66), который служит управляющим сервером для GreedyBear.<br/>
<br/>
В этих случаях в качестве вредоносной полезной нагрузки могут использоваться различные трояны, инфостилеры (например, Lumma) или даже вымогательское ПО.<br/>
<br/>
Также в отчете говорится, что анализ этой кампании выявил явные артефакты, свидетельствующие о том, что злоумышленники используют ИИ.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Это позволяет злоумышленникам быстрее и проще, чем когда-либо, масштабировать свои операции, диверсифицировать полезные нагрузки и уклоняться от обнаружения», — пишут эксперты.</font>
</td>
</tr>
</table>
</div>Кроме того, в компании предостерегли, что операторы GreedyBear явно рассматривают возможность распространения малвари и через Chrome Web Store. Дело в том, что исследователи обнаружили вредоносное расширение для Chrome под названием Filecoin Wallet, которое использовало ту же логику для кражи данных и связывалось с упомянутым выше IP-адресом.<br/>
<br/>
Отметим, что в июне 2025 года разработчики Mozilla представили <a href="https://xakep.ru/2025/06/04/crypto-wallet-scams/" target="_blank">новую систему</a> раннего обнаружения аддонов, связанных с криптовалютным мошенничеством. Она создает профили риска для каждого представленного в магазине кошелька-расширения и автоматически предупреждает о рисках, если достигнут заданный порог.<br/>
<br/>
Эти предупреждения должны побуждать людей, которые занимаются проверкой аддонов, более внимательно присмотреться к конкретным расширениям, чтобы удалить малварь из магазина, прежде чем она будет использована для опустошения кошельков пользователей.<br/>
<br/>
<a href="https://xakep.ru/2025/08/08/greedybear" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 01:41 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.