I ricercatori di Koi Security hanno individuato oltre 40 estensioni fasulle per Firefox che impersonano popolari wallet di criptovalute. L’obiettivo è ovviamente rubare le credenziali di login e accedere ai portafogli. Mozilla ha comunicato che quasi tutti gli add-on sono stati rimossi. Un nuovo sistema permette di rilevare automaticamente questo tipo di minaccia.
Attenzione agli add-on fasulli
Gli esperti di Koi Security hanno individuato oltre 40 estensioni con nomi simili a quelli di popolari piattaforme, tra cui Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox. Si tratta di una campagna su larga scala attiva almeno da aprile 2025. Nuovi add-on sono stati caricati sul sito ufficiale nell’ultima settimana.
Molte estensioni usano lo stesso nome e lo stesso logo del servizio legittimo. Alcune sono versioni modificate delle estensioni ufficiali open source. I cybercriminali hanno quindi aggiunto il codice infetto a quello base. Ciò aumenta la probabilità che vengano installate dalle ignare vittime.
Per guadagnare la fiducia degli utenti sono state aggiunte false recensioni positive (5 stelle). I ricercatori di Koi Security hanno pubblicato porzioni di codice che consentono di monitorare clic e input degli utenti. Vengono in particolare intercettate stringhe di testo lunghe almeno 30 caratteri che potrebbero essere chiavi e seed phrase (frasi di recupero) dei wallet.
Con la seed phrase è possibile accedere al portafoglio digitale e rubare tutte le criptovalute. Le estensioni estraggono le credenziali dei wallet direttamente dai siti presi di mira e le trasferiscono ad un server remoto. Durante l’inizializzazione trasmettono anche l’indirizzo IP esterno della vittima.
In base ad alcuni indizi, come i commenti presenti nel codice, gli autori dovrebbero essere di nazionalità russa. Mozilla ha comunicato che quasi tutte le estensioni segnalate sono state rimosse:
Siamo a conoscenza di tentativi di sfruttare l’ecosistema dei componenti aggiuntivi di Firefox utilizzando estensioni dannose che rubano criptovalute. Grazie a strumenti e processi migliorati abbiamo adottato misure per identificare e rimuovere rapidamente tali componenti aggiuntivi. Molte delle estensioni menzionate nel rapporto erano già state rimosse dal team di revisione dei componenti aggiuntivi di Mozilla prima della pubblicazione, così come decine di altre segnalazioni inviate di recente. Stiamo esaminando i pochi componenti aggiuntivi rimanenti che hanno identificato nell’ambito del nostro impegno costante per la protezione degli utenti.
Ti potrebbe interessare
6 lug 2025