یک گروه هکری روسی به نام گریدیبِر (GreedyBear) با ساخت نسخههای جعلی از کیف پولهای محبوب ارز دیجیتال مانند متامسک (MetaMask) از طریق افزونههای مرورگر فایرفاکس، در حال سرقت گسترده داراییهای کاربران است و تنها در پنج هفته گذشته موفق به سرقت بیش از یک میلیون دلار شده است. این حمله سازمانیافته، زنگ خطری جدی برای تمام کاربرانی است که از افزونههای مرورگر برای مدیریت داراییهای دیجیتال خود استفاده میکنند.
بر اساس گزارش تحقیقی شرکت امنیت سایبری کوی سکیوریتی (Koi Security)، این گروه هکری عملیات خود را به شکل چشمگیری گسترش داده و با استفاده از ۱۵۰ افزونه برای مرورگر فایرفاکس، نزدیک به ۵۰۰ فایل اجرایی مخرب و دهها وبسایت فیشینگ فعالیت میکند. ایدان داردیکمن (Idan Dardikman)، مدیر ارشد فناوری این شرکت، تأیید کرد که افزونههای فایرفاکس، سودآورترین روش حمله این گروه بوده و بخش عمدهای از یک میلیون دلار سرقت شده از این طریق به دست آمده است.
ترفند اصلی این گروه، ساخت نسخههای جعلی از کیف پولهای پراستفادهای مانند متامسک، اکسودوس (Exodus)، ربی ولت (Rabby Wallet) و ترونلینک (TronLink) است. هکرها برای دور زدن تدابیر امنیتی فروشگاه افزونه فایرفاکس، ابتدا یک نسخه سالم و بدون کد مخرب از افزونه را آپلود میکنند و پس از کسب تأییدیه، در یک بهروزرسانی، کدهای مخرب را به آن اضافه میکنند. آنها همچنین با ثبت نظرات و امتیازات جعلی، حس اعتماد و اطمینان را در کاربران ایجاد میکنند. اما به محض دانلود و نصب، این افزونههای آلوده اطلاعات و کلیدهای خصوصی کیف پول را به سرقت برده و حساب کاربران را خالی میکنند.
نکته قابل توجه در گزارش کوی سکیوریتی این است که تقریباً تمام دامنههای مورد استفاده در این حملات، به یک آدرس IP واحد (185.208.156.66) متصل میشوند. به گفته داردیکمن، این موضوع نشاندهنده یک کنترل متمرکز و شدید است و بیشتر به یک گروه جرائم سازمانیافته شباهت دارد. برای در امان ماندن از این حملات، توصیه میشود که افزونهها را تنها از سازندگان معتبر با سابقه طولانی نصب کنید.
نظرات کاربران