توماس دانيلز
تم ربط أكثر من 40 ملحقًا مزيفًا للمتصفح مصممًا لمتصفح Mozilla Firefox بحملة تصيد مستمرة تستهدف مستخدمي العملات المشفرة، وفقًا لتقرير أصدرته شركة الأمن السيبراني Koi Security يوم الأربعاء.
تنتحل هذه الإضافات الخبيثة صفة محافظ العملات المشفرة واسعة الاستخدام - بما في ذلك Coinbase وMetaMask وTrust Wallet وPhantom وExodus وOKX وMyMonero وBitget - بهدف وحيد هو سرقة بيانات اعتماد محافظ المستخدمين. بمجرد تثبيتها، تستخرج الإضافات بيانات المصادقة الحساسة من المواقع المستهدفة وتنقلها إلى خوادم بعيدة تحت سيطرة المهاجم.
حتى الآن، تمكنا من ربط أكثر من 40 امتدادًا مختلفًا بهذه الحملة، التي لا تزال مستمرة ونشطة للغاية، حسبما ذكرت شركة Koi Security.
لا تزال العملية، التي بدأت منذ أبريل/نيسان على الأقل، جارية. وقد رُفعت أحدث الامتدادات الأسبوع الماضي، مما يشير إلى استمرار نشاط الجهات التخريبية.
الهندسة الاجتماعية على نطاق واسع
أشارت شركة كوي سيكيوريتي إلى أن الحملة تستخدم تصميمات جذابة لواجهات المستخدم، وشعارات تبدو أصلية، ووظائف مستنسخة من مزودي محافظ موثوقين. في عدة حالات، أعاد المهاجمون استخدام شيفرة مفتوحة المصدر من إضافات رسمية، مُدمجين مكونات ضارة لمحاكاة تجربة المستخدم الأصلية مع تعريض الأمان للخطر بهدوء.
لقد حصل أحد الإضافات الخادعة بشكل خاص على مئات من التقييمات المزيفة ذات الخمس نجوم، وهي تكتيك يهدف إلى تعزيز المصداقية وجذب المستخدمين غير المطمئنين.
"لقد سمح هذا النهج الذي يتطلب جهدًا منخفضًا وذو تأثير عالٍ للممثل بالحفاظ على تجربة المستخدم المتوقعة مع تقليل فرص الاكتشاف الفوري."
تشير الأدلة إلى وجود مجموعة ناطقة بالروسية
في حين أن تحديد الجهة المسؤولة لا يزال بعيد المنال، سلّطت شركة كوي سيكيوريتي الضوء على مؤشرات تُشير إلى تورط مجموعة تهديد ناطقة بالروسية. وتشمل هذه المؤشرات تعليقات برمجية باللغة الروسية وبيانات وصفية عُثر عليها في مستند PDF تم استرداده من خادم قيادة وتحكم مرتبط بالبرمجية الخبيثة.
"على الرغم من أنها ليست قاطعة، فإن هذه القطع الأثرية تشير إلى أن الحملة قد تكون نشأت من مجموعة تهديد ناطقة باللغة الروسية."
