Lebih daripada 40 sambungan palsu untuk pelayar web popular Mozilla Firefox telah dikaitkan dengan kempen perisian hasad yang sedang berlangsung untuk mencuri mata wang kripto, menurut laporan yang diterbitkan pada hari Rabu oleh firma keselamatan siber Koi Security.
Operasi phishing berskala besar ini dilaporkan menggunakan sambungan yang menyamar sebagai alat dompet seperti Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget dan lain-lain. Setelah dipasang, sambungan berbahaya ini direka untuk mencuri kelayakan dompet pengguna.
“Setakat ini, kami dapat mengaitkan lebih daripada 40 sambungan berbeza dengan kempen ini, yang masih berlangsung dan sangat aktif,” kata syarikat itu.
Koi Security mengatakan kempen ini telah aktif sekurang-kurangnya sejak April, dan sambungan terbaru dimuat naik minggu lepas. Sambungan ini dilaporkan mengekstrak kelayakan dompet secara langsung dari laman web yang disasarkan dan memuat naiknya ke pelayan jauh yang dikawal oleh penyerang.
Berkaitan: Bagaimana sambungan pelayar mudah menghalang pemindahan $80K ke dompet berbahaya
Perisian hasad mengeksploitasi kepercayaan melalui reka bentuk
Menurut laporan, kempen ini memanfaatkan penilaian, ulasan, penjenamaan dan fungsi untuk mendapatkan kepercayaan pengguna dengan kelihatan sah. Salah satu aplikasi mempunyai ratusan ulasan lima bintang palsu.
Sambungan palsu ini juga menampilkan nama dan logo yang sama dengan perkhidmatan sebenar yang mereka tiru. Dalam beberapa kes, pelaku ancaman juga memanfaatkan kod sumber terbuka sambungan rasmi dengan menyalin aplikasi mereka tetapi dengan menambah kod berbahaya:
“Pendekatan usaha rendah, impak tinggi ini membolehkan pelaku mengekalkan pengalaman pengguna yang dijangka sambil mengurangkan peluang pengesanan segera.”
Berkaitan: Microsoft memberi amaran tentang trojan akses jauh baru yang menyasarkan dompet kripto
Pelaku ancaman berbahasa Rusia disyaki
Koi Security mengatakan “atribusi masih bersifat tentatif,” tetapi mencadangkan “beberapa isyarat menunjukkan pelaku ancaman berbahasa Rusia.” Isyarat tersebut termasuk komen dalam bahasa Rusia dalam kod dan metadata yang ditemui dalam fail PDF yang diperoleh dari pelayan kawalan perintah perisian hasad yang terlibat dalam insiden tersebut:
“Walaupun tidak konklusif, artifak ini mencadangkan bahawa kempen ini mungkin berasal dari kumpulan pelaku ancaman berbahasa Rusia.”
Untuk mengurangkan risiko, Koi Security menggesa pengguna untuk memasang sambungan pelayar hanya dari penerbit yang disahkan. Firma itu juga mengesyorkan agar sambungan dianggap sebagai aset perisian penuh, menggunakan senarai putih dan memantau untuk tingkah laku atau kemas kini yang tidak dijangka.
Majalah: Penggodam kripto Korea Utara menggunakan ChatGPT, wang jalan Malaysia disedut: Asia Express