L'azienda di sicurezza informatica Koi Security ha scoperto una campagna dannosa su larga scala che prendeva di mira gli utenti di criptovalute tramite false estensioni di Firefox.
La campagna coinvolge più di 40 estensioni che impersonano strumenti di criptovaluta ampiamente utilizzati.
Tra queste estensioni figurano Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox. Una volta installate, queste estensioni rubano silenziosamente le credenziali del wallet e le trasferiscono su server controllati dagli aggressori, mettendo a rischio immediato i beni degli utenti.
Utenti di criptovalute a rischio
Nel suo ultimo post, Koi Security ha rivelato che la campagna è attiva almeno da aprile 2025. Infatti, nuovi caricamenti fraudolenti sono apparsi sullo store dei componenti aggiuntivi di Mozilla già la scorsa settimana, il che indica che l'operazione è in corso, adattiva e persistente.
Queste estensioni trasmettono gli indirizzi IP esterni delle vittime durante l'inizializzazione, probabilmente a scopo di tracciamento o targeting, estraendo al contempo i segreti del portafoglio direttamente dai siti presi di mira. Copiando valutazioni, recensioni e marchi, gli aggressori conferiscono alle proprie estensioni un aspetto affidabile, il che alla fine spinge più utenti a scaricarle.
Molte delle estensioni fasulle avevano centinaia di recensioni positive false, superiori alla loro base di utenti effettiva, il che consentiva loro di apparire ampiamente adottate e affidabili all'interno dell'ecosistema dei componenti aggiuntivi di Mozilla.
In diversi casi, è stato scoperto che gli aggressori avevano clonato estensioni di wallet open source reali e incorporato logica dannosa, mantenendone al contempo le funzionalità previste. Questo per evitare di essere rilevati e garantire un'esperienza utente fluida, una tattica che ha permesso il furto di credenziali senza destare sospetti.
L'indagine di Koi Security ha tracciato l'infrastruttura e le tattiche, tecniche e procedure (TTP) condivise dalla campagna tra le estensioni, rivelando un'operazione coordinata incentrata sulla raccolta di credenziali e sul tracciamento degli utenti all'interno dell'ecosistema crypto. L'indagine ha esortato gli utenti di Firefox a controllare immediatamente le estensioni installate, a disinstallare gli strumenti sospetti e a ruotare le credenziali del wallet ove possibile.
L'azienda ha inoltre affermato che sta collaborando attivamente con Mozilla per rimuovere le estensioni dannose identificate e monitorare ulteriori caricamenti collegati a questa campagna.
Indizi russi nel codice della campagna
Le prove suggeriscono che dietro la campagna potrebbe esserci un gruppo di minacce di lingua russa. Koi Security ha affermato di aver trovato note in lingua russa nascoste nel codice dell'estensione e metadati di un PDF su un server di controllo che mostrava testo in russo.
Questi indizi non costituiscono una prova definitiva, ma indicano che l'operazione potrebbe essere gestita da un attore di lingua russa.
L'ultimo rapporto emerge mesi dopo che SlowMist ha rilevato una potenziale truffa di phishing crittografico legata alla Russia, che utilizzava falsi link a riunioni Zoom per rubare milioni di dollari. L'azienda di sicurezza blockchain ha rintracciato l'attività del malware in un server nei Paesi Bassi, ma ha trovato script in lingua russa negli strumenti degli aggressori, il che indicava possibili agenti di lingua russa. Gli aggressori hanno prosciugato i wallet e convertito gli asset rubati in ETH sui principali exchange.
Il post Se hai Crypto e usi Firefox, gli hacker ti stanno prendendo di mira è apparso per la prima volta su CryptoPotato .