شرکت امنیت سایبری «کوی سکیوریتی (Koi Security)» از شناسایی یک کمپین مخرب گسترده خبر داده که از طریق بیش از 40 افزونه جعلی مرورگر فایرفاکس ، کاربران ارزهای دیجیتال را هدف قرار داده است.
به گفته این شرکت، کیفپولهای مورد هدف شامل کوینبیس، متامسک، تراست والت، فانتوم، اکسدوس، اوکیایکس، بیتگت، اتریوم والت، لیپ (Leap) و فیلفاکس (Filfox) بودهاند.
نصب، راهاندازی و نحوه استفاده از کیفپول متامسک
آموزش کامل اکسدوس؛ یکی از بهترین کیف پول های بیت کوین و چندین ارز دیجیتال
این افزونههای جعلی پس از نصب، اقدام به سرقت اطلاعات حساس کاربران از جمله عبارات بازیابی و کلیدهای خصوصی میکنند و این اطلاعات را به سرورهایی تحت کنترل هکرها ارسال میکنند؛ موضوعی که دارایی کاربران را بهشدت در معرض خطر قرار میدهد.
کلید خصوصی(Private Key) چیست؟
کوی سکیوریتی هشدار داده است که کاربران باید از نصب افزونههای ناشناس یا مشکوک، بهویژه در مرورگر فایرفاکس، خودداری کنند و فقط از منابع رسمی و معتبر استفاده نمایند.
کاربران ارزهای دیجیتال در معرض خطر
شرکت کوی سکیوریتی در جدیدترین گزارش خود اعلام کرد که کمپین مخرب شناساییشده، دستکم از آوریل 2025 در حال فعالیت بوده است.
بررسیها نشان میدهد که آپلودهای جدید افزونههای جعلی در فروشگاه رسمی «Mozilla Add-ons» تا همین هفته گذشته ادامه داشتهاند؛ موضوعی که گویای فعالیت مداوم و سازمانیافته این عملیات سایبری است.
این افزونههای مخرب بلافاصله پس از نصب، آدرس IP خارجی قربانیان را برای ردیابی یا هدفگیریهای بعدی ارسال میکنند. همزمان، با بهرهگیری از تکنیکهای مهندسی اجتماعی و کدنویسی مخفی، اقدام به استخراج مستقیم اطلاعات حساس کیف پولها – از جمله عبارات بازیابی– از وبسایتهای هدف میکنند.
مهاجمان برای جلب اعتماد کاربران، از نامهای تجاری معتبر، امتیازهای جعلی و نظرات ساختگی استفاده کردهاند. بسیاری از این افزونهها دارای صدها بررسی مثبت غیرواقعی بودند، که حتی از تعداد واقعی کاربرانشان فراتر میرفت. همین امر باعث شده بود تا افزونهها در فروشگاه Mozilla Add-ons بهعنوان ابزارهایی محبوب و قابلاعتماد نمایش داده شوند.
این اقدام هماهنگ باعث فریب کاربران و افزایش نرخ دانلود این افزونههای مخرب شده است؛ تهدیدی جدی که اهمیت نظارت دقیقتر بر فروشگاههای رسمی افزونه را دوچندان میکند.
در چندین مورد، بررسیها نشان داده است که مهاجمان نسخههای واقعی و متنباز برخی کیف پولهای دیجیتال را بهطور کامل کپی کردهاند. آنها با حفظ عملکرد اصلی و مورد انتظار این افزونهها، الگوهای مخرب را بهصورت مخفیانه در کد آنها جاسازی کردهاند.
این اقدام با هدف جلوگیری از شناسایی و ارائه تجربه کاربری بینقص صورت گرفته است؛ روشی که به مهاجمان اجازه میداد بهطور پنهانی و مستمر اطلاعات محرمانه کاربران را سرقت کنند، بدون آنکه رفتاری مشکوک از خود نشان دهند یا باعث جلب توجه شوند.
تحقیقات شرکت کوی سکیوریتی موفق به شناسایی زیرساخت مشترک این کمپین مخرب، بههمراه تاکتیکها، تکنیکها و رویههای عملیاتی (TTP) به کار رفته در میان افزونههای مخرب شده است. این بررسیها حاکی از آن است که با یک عملیات سایبری هماهنگ و سازمانیافته روبهرو هستیم که تمرکز اصلی آن بر جمعآوری اطلاعات محرمانه کاربران و ردیابی فعالیت آنها در بازار ارزهای دیجیتال قرار دارد.
این شرکت از کاربران مرورگر فایرفاکس خواست تا هرچه سریعتر افزونههای نصبشده را بررسی کرده، افزونههای مشکوک یا ناشناس را حذف کنند و در صورت امکان، اطلاعات محرمانه کیف پولهای خود را تغییر دهند تا از سوءاستفادههای احتمالی جلوگیری شود.
این شرکت همچنین اعلام کرد که بهطور فعال با تیم موزیلا در حال همکاری است تا افزونههای مخرب شناساییشده را از فروشگاه حذف کرده و آپلودهای جدید مرتبط با این کمپین را بهصورت مداوم رصد و پیگیری کند.
استفاده از زبان روسی در کد افزونههای مخرب
شرکت امنیت سایبری کوی سکیوریتی اعلام کرده است که شواهدی از ارتباط این کمپین مخرب اخیر با یک گروه هکری روسیزبان به دست آورده است. بررسی کد افزونههای جعلی و فرادادههای یک فایل PDF موجود در سرور کنترل این عملیات، حاوی یادداشتهایی به زبان روسی بوده است. این موضوع نشان میدهد که عاملان این حملات سایبری، علاوه بر تسلط بر زبان روسی، احتمالاً در منطقهای روسیزبان فعالیت میکنند.
اگرچه این نشانهها شواهد قطعی نیستند، به یک عامل احتمالی روسیزبان اشاره دارند که این عملیات را هدایت میکند.
این گزارش چند ماه پس از آن منتشر میشود که شرکت امنیت سایبری اسلومیست (SlowMist) یک کلاهبرداری فیشینگ مرتبط با روسیه را شناسایی کرد. این کلاهبرداری از طریق ارسال لینکهای جعلی جلسات آنلاین در پلتفرم زوم (Zoom) انجام میشد که کاربران را به صفحات فیشینگ هدایت میکرد و با هدف سرقت اطلاعات حساس ارزهای رمزنگاری طراحی شده بود.
این شرکت فعالیت این بدافزار را تا سروری در هلند ردیابی کرد، اما اسکریپتهایی به زبان روسی یافت که احتمال دخالت عوامل روسیزبان را تقویت میکند. هکرها کیف پولهای هدف را تخلیه کرده و داراییهای سرقتشده را در صرافیهای بزرگ به ارز اتریوم تبدیل کرده بودند.
نظرات بسته شده است.