Kötü niyetli Firefox eklentileri, kripto para cüzdanı bilgilerini çalmak için kullanıldı. “GreedyBear” olarak adlandırılan bu kampanya yaklaşık 150 eklentiyi içeriyordu ve saldırganlar kurbanların hesaplarından tahmini bir milyon dolar çaldı.
Koi Security tarafından keşfedilen bu dolandırıcılık, Firefox eklenti mağazasında tanınmış kripto para cüzdanı eklentilerinin kimliğine bürünerek yayıldı. Bleeping Computer’ın bildirdiğine göre, tespit edilen kötü amaçlı yazılımlar Mozilla tarafından kaldırıldı.
Ancak araştırmacılar, GreedyBear kampanyasının Filecoin Wallet adlı bir eklenti aracılığıyla Chrome web mağazasına da yayılmış olabileceğini belirtti. Başlangıçta zararsız görünen kripto cüzdanı eklentileri olarak yüklenen bu yazılımlar, daha sonra tehlikeli kötü amaçlı yazılımlara dönüştü.
Saldırganlar, MetaMask, TronLink ve Rabby gibi bilinen platformların markalaşmasına uygun zararsız kripto cüzdanı eklentileri yükleyerek onay aldılar. Güvenilir görünmelerini sağlamak için sahte olumlu yorumlar biriktirdiler. Daha sonra isimleri ve logoları kaldırıp değiştirerek kötü amaçlı kod enjekte ettiler.
Bu eklentiler, form alanı girişlerini ve kurbanların harici IP adreslerini yakalayan keylogger’lara dönüştürüldü. Kullanıcıların, tarayıcılarına yeni bir eklenti eklemeden önce kullanıcı yorumlarını okumaları, sürüm geçmişini ve geliştiricinin diğer projelerini kontrol etmeleri önemlidir.
Kripto cüzdanları için daha güvenli bir seçenek, eklenti mağazasında arama yapmak yerine doğrudan projenin web sitesine gitmektir. Bu, kullanıcıyı meşru eklentiye yönlendirecektir.
