Podmioty zagrożone zatrudnili około 150 złośliwych przedłużeń Firefox, aby ukraść poświadczenia portfela kryptowalut, co spowodowało, że około miliona dolarów skradzionych ofiarom. Program ten, zidentyfikowany jako „Chciwość” przez KOI Security, obsługiwane przez podszywanie się pod legalne przedłużenia portfela kryptowalut w sklepie dodatków Firefox.
Złośliwe rozszerzenia początkowo pojawiły się jako łagodne narzędzia portfela kryptowalut. Atakerzy przesłali te rozszerzenia z brandingiem zgodnym z ustalonymi platformami, w tym Metamask, Tronlink i Rabby. Te początkowe wersje zgromadziły również wyprodukowane pozytywne recenzje w celu zwiększenia ich postrzeganej legitymacji. Następnie atakujący zmodyfikowali te rozszerzenia, zmieniając nazwy i logo, a następnie wstrzyknęli złośliwy kod. Ta transformacja przekonwertowała rozszerzenia na keyloggery.
Uszkodzone rozszerzenia zostały zaprojektowane w celu przechwytywania danych wejściowych pola wprowadzanych przez użytkowników. Ponadto te złośliwe rozszerzenia zarejestrowały zewnętrzne adresy IP ofiar. Informacje zebrane przez tych keyloggerów zostały następnie przesłane na serwery kontrolowane przez atakujących. Od tego czasu Mozilla usunęła zidentyfikowane złośliwe oprogramowanie ze sklepu dodatków Firefox, jak donosi Bleeping Computer.
Naukowcy zidentyfikowali również potencjalną ekspansję chciwej kampanii do sklepu internetowego Chrome. To możliwe rozszerzenie jest powiązane z rozszerzeniem o nazwie portfel Filecoin. Użytkownikom zaleca się zachowanie ostrożności przed zainstalowaniem rozszerzeń przeglądarki. Zalecane środki ostrożności obejmują recenzję komentarzy użytkowników poza rankingami gwiazd, badanie historii rozszerzenia i badanie innych projektów związanych z programistą pod kątem wszelkich podejrzanych działań.
W przypadku rozszerzeń portfela kryptowalut, bardziej bezpieczniejsza metoda niż wyszukiwanie bezpośrednio w sklepach z przeglądarką obejmuje nawigację na oficjalnej stronie projektu kryptowaluty. Uzasadnione rozszerzenia są zazwyczaj połączone bezpośrednio z tych oficjalnych stron internetowych projektów, zapewniając zweryfikowane źródło instalacji.
