網路安全公司Koi Security週三(7月2日)發布報告指出,已有40多款針對熱門瀏覽器Mozilla Firefox開發的假冒擴充功能,被關聯到一項正在進行的加密貨幣盜竊惡意軟體行動。
據悉,這一大規模網路釣魚行動部署了偽裝成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、MyMonero、Bitget等主流錢包工具的擴充功能。使用者一旦安裝,這些惡意擴充功能便會竊取其錢包憑證。
Koi Security表示:「截至目前,我們已將40多款不同擴充功能與該行動關聯,且該攻擊仍在持續。」
Koi Security指出,該行動自今年四月起至少已在進行,最近一批擴充功能於上週上傳。報告指出,這些擴充功能會直接從目標網站竊取錢包憑證,並上傳至攻擊者控制的遠端伺服器。
惡意軟體透過介面設計誘導使用者信任
報告顯示,該行動透過假冒評分、評論、仿冒品牌形象以及功能偽裝等方式,提升擴充功能的可信度。其中一款應用甚至擁有數百條虛假的五星好評。
這些假冒擴充功能還採用與真實服務相同的名稱和標誌。在多起案例中,威脅行為者還利用官方擴充功能的開源程式碼,複製應用並植入惡意程式碼:「這種低投入高回報的方式,讓攻擊者既能維持使用者預期的使用體驗,又能降低被立即發現的風險。」
疑似俄語威脅組織主導
Koi Security指出,「目前歸因尚不確定」,但「多項跡象指向俄語威脅組織」。這些跡象包括程式碼中的俄語註解,以及從相關惡意軟體指揮控制伺服器中獲取的PDF檔案元數據:「雖然尚無定論,但這些痕跡表明該行動可能源自俄語威脅組織。」
為降低風險,Koi Security建議使用者僅從經過驗證的發布者處安裝瀏覽器擴充功能。同時,應將擴充功能視為完整的軟體資產,採用白名單機制,並持續監控任何異常行為或更新。