Компания по кибербезопасности Koi Security раскрыла масштабную вредоносную кампанию с использованием более 40 поддельных расширений Firefox, предназначенных для кражи учетных данных крипто-кошелька у ничего не подозревающих пользователей.
Вредоносные расширения выдают себя за законные инструменты для кошельков с известных платформ, включая Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.
По данным Koi Security, кампания была активна как минимум с апреля 2025 года, а новые вредоносные расширения были загружены в магазин дополнений Firefox только на прошлой неделе. Расширения извлекают учетные данные кошелька с целевых веб-сайтов и передают их на удаленные серверы, контролируемые злоумышленниками.
Примечательно, что в январе OKX ранее предупреждала пользователей о поддельных расширениях OKX Wallet для Firefox, подтверждая, что биржа не выпускала никаких плагинов для Firefox. Биржа подала жалобы официальным лицам Firefox с требованием удалить мошеннические расширения для браузера, а также посоветовала пользователям немедленно перевести средства из своего кошелька, если они установили вредоносные плагины.
Изощренная тактика укрепления доверия вводит в заблуждение тысячи пользователей
Вредоносная кампания использовала сложные механизмы укрепления доверия, чтобы увеличить количество установок и избежать немедленного обнаружения. Многие расширения содержали сотни поддельных 5-звездочных отзывов, которые намного превышали число реальных пользователей, создавая видимость широкого распространения и положительных отзывов сообщества.
Злоумышленники тщательно имитировали брендинг легитимных инструментов для кошельков, используя идентичные названия и логотипы реальных сервисов, которых они подделывали.
Это визуальное сходство увеличивало вероятность случайных установок расширений пользователями, ищущими официальные криптовалютные кошельки. Атаки основывались на открытом исходном коде легитимных расширений кошельков путем клонирования оригинальных кодов и внедрения вредоносной логики.
Такой подход позволял сохранять привычный пользовательский опыт, одновременно тайно воруя данные. Эта стратегия сокращала время разработки и повышала шансы, что средства безопасности пропустят вредоносные изменения в иначе легитимном коде.
Некоторые вредоносные расширения оставались незамеченными длительное время из-за функционального сходства с официальными кошельками. Пользователи получали стандартный функционал, в то время как их данные передавались на инфраструктуру злоумышленников.
Расширяются атаки на оборудование и программное обеспечение помимо браузерных расширений
Кампания с расширениями для Firefox стала одним из векторов расширяющейся экосистемы методов краж криптовалют, нацеленных на программные и аппаратные меры безопасности. Согласно недавнему отчету Cryptonew, китайский криптоинвестор потерял почти $7 миллионов после покупки поддельного холодного кошелька через Douyin, китайскую платформу TikTok.
Сложная аппаратная ловушка нарушила генерацию приватных ключей кошелька на базовом уровне. При инициализации устройства оно генерировало ключи, уже известные злоумышленникам, создавая у жертвы ложное ощущение безопасности и предоставляя преступникам полный доступ к средствам.
Аналогично, компания по кибербезопасности Moonlock недавно предупредила о поддельных приложениях Ledger Live, нацеленных на пользователей macOS через вредоносное ПО Atomic macOS Stealer.
Это ПО, размещенное на более чем 2800 скомпрометированных сайтах, заменяет настоящие приложения Ledger Live поддельными версиями, собирающими seed-фразы через убедительные всплывающие окна.
Злоумышленники также расширяют атаки за пределы аппаратного и программного обеспечения. Появились физические фишинговые атаки через традиционную почту, где мошенники, выдавая себя за Ledger, отправляют поддельные письма через USPS.
В письмах пользователей призывают “подтвердить” свои кошельки через QR-коды, ведущие на фишинговые сайты для кражи приватных ключей. Это последнее открытие добавляет угрозу со стороны продвинутых злоумышленников в криптоиндустрии.
Криптоинвесторы потеряли более $2,2 млрд из-за взломов, мошенничества и нарушений безопасности только в первой половине 2025 года, согласно отчету CertiK по безопасности.
Утечки, связанные с кошельками, составили $1,7 млрд в 34 атаках, а фишинг свыше $410 млн в 132 случаях. Ethereum остался самой атакуемой блокчейн-сетью с 175 событиями безопасности и потерями более $1,6 млрд.
Самый крупный взлом произошел в феврале. Криптобиржа Bybit пострадала от взлома с кражей свыше $1,5 млрд в liquid-staked ETH и MegaETH. Уязвимости в коде нанесли ущерб в $229 млн только в мае 2025 года, что стало резким ростом по сравнению с $5 млн в апреле.
Число физических “нападений” на криптовладельцев выросли по всему миру, с как минимум 32 случаями в 2025 году, и этот год может превзойти рекорд 2021 года в 36 атак.
Новость Обнаружены 40+ поддельных криптокошельков для Firefox была опубликована на Cryptonews На Русском.
