در کوین سرا از جدیدترین و داغ ترین اخبار و مطالب دنیای ارزهای رمزپایه مطلع می شوید .

شناسایی افزونه‌های جعلی فایرفاکس علیه کاربران ارزهای رمزنگاری

35

شرکت امنیت سایبری «کوی سکیوریتی (Koi Security)» از شناسایی یک کمپین مخرب گسترده خبر داده که از طریق بیش از 40 افزونه جعلی مرورگر فایرفاکس ، کاربران ارزهای دیجیتال را هدف قرار داده است.

به گفته این شرکت، کیف‌پول‌های مورد هدف شامل کوین‌بیس، متامسک، تراست والت، فانتوم، اکسدوس، اوکی‌ایکس، بیت‌گت، اتریوم والت، لیپ (Leap) و فیل‌فاکس (Filfox) بوده‌اند.
نصب، راه‌اندازی و نحوه استفاده از کیف‌پول متامسک
آموزش کامل اکسدوس؛ یکی از بهترین کیف پول های بیت کوین و چندین ارز دیجیتال

این افزونه‌های جعلی پس از نصب، اقدام به سرقت اطلاعات حساس کاربران از جمله عبارات بازیابی و کلیدهای خصوصی می‌کنند و این اطلاعات را به سرورهایی تحت کنترل هکرها ارسال می‌کنند؛ موضوعی که دارایی کاربران را به‌شدت در معرض خطر قرار می‌دهد.
کلید خصوصی(Private Key) چیست؟

کوی سکیوریتی هشدار داده است که کاربران باید از نصب افزونه‌های ناشناس یا مشکوک، به‌ویژه در مرورگر فایرفاکس، خودداری کنند و فقط از منابع رسمی و معتبر استفاده نمایند.

کاربران ارزهای دیجیتال در معرض خطر

شرکت کوی سکیوریتی در جدیدترین گزارش خود اعلام کرد که کمپین مخرب شناسایی‌شده، دست‌کم از آوریل 2025 در حال فعالیت بوده است.

بررسی‌ها نشان می‌دهد که آپلودهای جدید افزونه‌های جعلی در فروشگاه رسمی «Mozilla Add-ons» تا همین هفته گذشته ادامه داشته‌اند؛ موضوعی که گویای فعالیت مداوم و سازمان‌یافته این عملیات سایبری است.

این افزونه‌های مخرب بلافاصله پس از نصب، آدرس IP خارجی قربانیان را برای ردیابی یا هدف‌گیری‌های بعدی ارسال می‌کنند. هم‌زمان، با بهره‌گیری از تکنیک‌های مهندسی اجتماعی و کدنویسی مخفی، اقدام به استخراج مستقیم اطلاعات حساس کیف پول‌ها – از جمله عبارات بازیابی– از وب‌سایت‌های هدف می‌کنند.

مهاجمان برای جلب اعتماد کاربران، از نام‌های تجاری معتبر، امتیازهای جعلی و نظرات ساختگی استفاده کرده‌اند. بسیاری از این افزونه‌ها دارای صدها بررسی مثبت غیرواقعی بودند، که حتی از تعداد واقعی کاربرانشان فراتر می‌رفت. همین امر باعث شده بود تا افزونه‌ها در فروشگاه Mozilla Add-ons به‌عنوان ابزارهایی محبوب و قابل‌اعتماد نمایش داده شوند.

این اقدام هماهنگ باعث فریب کاربران و افزایش نرخ دانلود این افزونه‌های مخرب شده است؛ تهدیدی جدی که اهمیت نظارت دقیق‌تر بر فروشگاه‌های رسمی افزونه را دوچندان می‌کند.

در چندین مورد، بررسی‌ها نشان داده است که مهاجمان نسخه‌های واقعی و متن‌باز برخی کیف پول‌های دیجیتال را به‌طور کامل کپی کرده‌اند. آن‌ها با حفظ عملکرد اصلی و مورد انتظار این افزونه‌ها، الگوهای مخرب را به‌صورت مخفیانه در کد آن‌ها جاسازی کرده‌اند.

این اقدام با هدف جلوگیری از شناسایی و ارائه تجربه کاربری بی‌نقص صورت گرفته است؛ روشی که به مهاجمان اجازه می‌داد به‌طور پنهانی و مستمر اطلاعات محرمانه کاربران را سرقت کنند، بدون آن‌که رفتاری مشکوک از خود نشان دهند یا باعث جلب توجه شوند.

تحقیقات شرکت کوی سکیوریتی موفق به شناسایی زیرساخت مشترک این کمپین مخرب، به‌همراه تاکتیک‌ها، تکنیک‌ها و رویه‌های عملیاتی (TTP) به کار رفته در میان افزونه‌های مخرب شده است. این بررسی‌ها حاکی از آن است که با یک عملیات سایبری هماهنگ و سازمان‌یافته روبه‌رو هستیم که تمرکز اصلی آن بر جمع‌آوری اطلاعات محرمانه کاربران و ردیابی فعالیت آن‌ها در بازار ارزهای دیجیتال قرار دارد.

این شرکت از کاربران مرورگر فایرفاکس خواست تا هرچه سریع‌تر افزونه‌های نصب‌شده را بررسی کرده، افزونه‌های مشکوک یا ناشناس را حذف کنند و در صورت امکان، اطلاعات محرمانه کیف پول‌های خود را تغییر دهند تا از سوءاستفاده‌های احتمالی جلوگیری شود.

این شرکت همچنین اعلام کرد که به‌طور فعال با تیم موزیلا در حال همکاری است تا افزونه‌های مخرب شناسایی‌شده را از فروشگاه حذف کرده و آپلودهای جدید مرتبط با این کمپین را به‌صورت مداوم رصد و پیگیری کند.

استفاده از زبان روسی در کد افزونه‌های مخرب

شرکت امنیت سایبری کوی سکیوریتی اعلام کرده است که شواهدی از ارتباط این کمپین مخرب اخیر با یک گروه هکری روسی‌زبان به دست آورده است. بررسی کد افزونه‌های جعلی و فراداده‌های یک فایل PDF موجود در سرور کنترل این عملیات، حاوی یادداشت‌هایی به زبان روسی بوده است. این موضوع نشان می‌دهد که عاملان این حملات سایبری، علاوه بر تسلط بر زبان روسی، احتمالاً در منطقه‌ای روسی‌زبان فعالیت می‌کنند.

اگرچه این نشانه‌ها شواهد قطعی نیستند، به یک عامل احتمالی روسی‌زبان اشاره دارند که این عملیات را هدایت می‌کند.

این گزارش چند ماه پس از آن منتشر می‌شود که شرکت امنیت سایبری اسلومیست (SlowMist) یک کلاهبرداری فیشینگ مرتبط با روسیه را شناسایی کرد. این کلاهبرداری از طریق ارسال لینک‌های جعلی جلسات آنلاین در پلتفرم زوم (Zoom) انجام می‌شد که کاربران را به صفحات فیشینگ هدایت می‌کرد و با هدف سرقت اطلاعات حساس ارزهای رمزنگاری طراحی شده بود.

این شرکت فعالیت این بدافزار را تا سروری در هلند ردیابی کرد، اما اسکریپت‌هایی به زبان روسی یافت که احتمال دخالت عوامل روسی‌زبان را تقویت می‌کند. هکرها کیف پول‌های هدف را تخلیه کرده و دارایی‌های سرقت‌شده را در صرافی‌های بزرگ به ارز اتریوم تبدیل کرده‌ بودند.

منبع cryptopotato

نظرات بسته شده است.