Wenn Sie Krypto besitzen und Firefox verwenden, sind Hacker hinter Ihnen her
Die Cybersicherheitsfirma Koi Security hat eine groß angelegte bösartige Kampagne aufgedeckt, die Kryptowährungsnutzer durch gefälschte Firefox-Erweiterungen ins Visier nimmt.
Die Kampagne umfasst mehr als 40 Erweiterungen, die weit verbreitete Krypto-Wallet-Tools imitieren.
Dazu gehören Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet und Filfox. Einmal installiert, stehlen diese Erweiterungen heimlich Wallet-Anmeldedaten und exfiltrieren sie an von Angreifern kontrollierte Server, was die Vermögenswerte der Nutzer unmittelbar gefährdet.
Krypto-Nutzer in Gefahr
In seinem neuesten Beitrag enthüllte Koi Security, dass die Kampagne seit mindestens April 2025 aktiv ist. Tatsächlich sind kürzlich neue betrügerische Uploads im Mozilla Add-ons Store aufgetaucht, was darauf hindeutet, dass die Operation fortlaufend, anpassungsfähig und hartnäckig ist.
Diese Erweiterungen übermitteln während der Initialisierung die externen IP-Adressen der Opfer, wahrscheinlich zum Tracking oder zur Zielbestimmung, und extrahieren Wallet-Geheimnisse direkt von den angezielten Seiten. Durch das Kopieren von Bewertungen, Rezensionen und Markenauftritten erscheinen die Angreifer-Erweiterungen vertrauenswürdig, was letztendlich dazu führt, dass mehr Nutzer sie herunterladen.
Viele der gefälschten Erweiterungen hatten Hunderte von gefälschten positiven Bewertungen, die ihre tatsächliche Benutzerbasis überstiegen, was es ihnen ermöglichte, innerhalb des Mozilla Add-ons-Ökosystems weit verbreitet und renommiert zu erscheinen.
In mehreren Fällen wurde festgestellt, dass die Angreifer echte Open-Source-Wallet-Erweiterungen geklont und bösartige Logik eingebettet hatten, während sie die erwartete Funktionalität beibehielten. Dies wurde getan, um die Erkennung zu vermeiden und eine nahtlose Benutzererfahrung zu gewährleisten, eine Taktik, die es ermöglichte, Anmeldedaten kontinuierlich zu stehlen, ohne Verdacht zu erregen.
Koi Securitys Untersuchung verfolgte die gemeinsame Infrastruktur und die Taktiken, Techniken und Verfahren (TTPs) der Kampagne über die Erweiterungen hinweg und enthüllte eine koordinierte Operation, die sich auf die Erbeutung von Anmeldedaten und die Verfolgung von Nutzern innerhalb des Krypto-Ökosystems konzentrierte. Es wurde den Firefox-Nutzern geraten, installierte Erweiterungen umgehend zu überprüfen, verdächtige Tools zu deinstallieren und Wallet-Anmeldedaten nach Möglichkeit zu ändern.
Das Unternehmen gab zudem an, aktiv mit Mozilla zusammenzuarbeiten, um identifizierte bösartige Erweiterungen zu entfernen und weitere Uploads im Zusammenhang mit dieser Kampagne zu überwachen.
Russische Hinweise im Kampagnencode
Hinweise deuten darauf hin, dass eine russischsprachige Bedrohungsgruppe hinter der Kampagne stecken könnte. Koi Security behauptete, versteckte russischsprachige Notizen im Code der Erweiterung und Metadaten von einer PDF-Datei auf einem Kontrollserver gefunden zu haben, die russischen Text zeigten.
Diese Indizien sind kein endgültiger Beweis, deuten jedoch auf einen möglichen russischsprachigen Betreiber der Operation hin.
Der neueste Bericht taucht Monate nach einem potenziell mit Russland verbundenen Krypto-Phishing-Betrug auf, der gefälschte Zoom-Meeting-Links nutzte, um Millionen zu stehlen und von SlowMist entdeckt wurde. Das Blockchain-Sicherheitsunternehmen verfolgte die Aktivitäten der Malware zu einem Server in den Niederlanden, fand jedoch russischsprachige Skripte in den Werkzeugen der Angreifer, was auf mögliche russischsprachige Akteure hinwies. Die Angreifer räumten Wallets und konvertierten gestohlene Vermögenswerte in ETH über große Börsen.
