🟨"Attenzione: Campagna di Malware su Firefox Ruba Criptovalute"
Giorno: 2025-07-03 | Ora : 13:07 Oltre 40 estensioni false per Firefox sono collegate a una campagna di malware che ruba criptovalute. Queste estensioni, simulate come wallet legittimi, estraggono credenziali dagli utenti e le inviano a server controllati dagli attaccanti. Koi Security raccomanda di installare solo estensioni verificate per ridurre i rischi.
Recentemente, oltre 40 estensioni false per il browser web Mozilla Firefox sono state collegate a una campagna di malware in corso, mirata a rubare criptovalute agli utenti, secondo un rapporto pubblicato dalla società di cybersecurity Koi Security.
Questa operazione di phishing su larga scala utilizza estensioni che si spacciano per strumenti di wallet come Coinbase, MetaMask, Trust Wallet e altri. Una volta installate, queste estensioni malevole sono progettate per sottrarre le credenziali dei wallet degli utenti.
Koi Security ha evidenziato che la campagna è attiva almeno da aprile e che le estensioni più recenti sono state caricate la settimana scorsa. Le estensioni estraggono le credenziali dei wallet direttamente dai siti web mirati e le caricano su un server remoto controllato dall'attaccante.
Secondo il rapporto, la campagna sfrutta valutazioni, recensioni, branding e funzionalità per guadagnare la fiducia degli utenti, apparendo legittima e aumentando i tassi di installazione. Una delle applicazioni aveva centinaia di recensioni false a cinque stelle.
Le estensioni false presentavano nomi e loghi identici ai servizi reali che imitavano. In diversi casi, gli attaccanti hanno anche utilizzato il codice open-source delle estensioni ufficiali clonando le loro applicazioni, ma con codice malevolo aggiunto. Questo approccio ha permesso di mantenere l'esperienza utente attesa, riducendo al contempo le possibilità di rilevamento immediato.
Koi Security ha indicato che, sebbene l'attribuzione rimanga incerta, ci sono segnali che suggeriscono un attore minaccioso di lingua russa, come commenti in russo nel codice e metadati trovati in un file PDF recuperato da un server di comando e controllo del malware coinvolto nell'incidente.
Per ridurre i rischi, Koi Security ha raccomandato di installare estensioni del browser solo da editori verificati e di trattare le estensioni come veri e propri asset software, utilizzando liste di autorizzazione e monitorando comportamenti o aggiornamenti inaspettati.
