Koi Security cảnh báo về chiến dịch malware với hơn 40 tiện ích Firefox giả mạo, nhắm mục tiêu đánh cắp thông tin đăng nhập ví tiền mã hóa của người dùng.
Công ty an ninh mạng Koi Security đã phát đi cảnh báo về một chiến dịch tấn công mạng quy mô lớn, sử dụng hơn 40 tiện ích mở rộng giả mạo trên trình duyệt Mozilla Firefox nhằm đánh cắp thông tin đăng nhập và tài sản từ người dùng tiền mã hóa.
Chiến dịch này giả mạo hàng loạt ví điện tử phổ biến như Coinbase, MetaMask, Trust Wallet và nhiều nền tảng khác. Báo cáo từ Koi Security cho biết các hoạt động tấn công đã bắt đầu ít nhất từ tháng 4 và hiện vẫn đang tiếp diễn mạnh mẽ, với các tiện ích độc hại mới nhất vừa được phát hiện tải lên tuần trước.
Phương thức hoạt động của những tiện ích mở rộng độc hại này là thu thập trực tiếp thông tin đăng nhập ví điện tử từ các trang web mục tiêu, sau đó gửi dữ liệu nhạy cảm về máy chủ điều khiển từ xa do kẻ tấn công quản lý. “Cho tới thời điểm hiện tại, chúng tôi đã phát hiện hơn 40 tiện ích mở rộng độc hại liên quan đến chiến dịch này,” Koi Security nêu rõ, đồng thời nhấn mạnh mức độ lan rộng của cuộc tấn công.
Sự nguy hiểm của chiến dịch này xuất phát từ kỹ thuật giả mạo hết sức tinh vi, đánh vào tâm lý tin tưởng của người dùng. Những kẻ tấn công không chỉ sao chép tên gọi và logo của các ứng dụng thật, mà còn tạo ra các đánh giá 5 sao giả mạo nhằm gia tăng tính xác thực.
Trong nhiều trường hợp, mã nguồn mở chính thức của các ví điện tử cũng bị sao chép và chèn thêm các đoạn mã độc hại. “Chiến thuật đơn giản nhưng rất hiệu quả này giúp kẻ tấn công giữ nguyên trải nghiệm người dùng, đồng thời giảm thiểu khả năng bị phát hiện ngay lập tức,” báo cáo phân tích.
Hiện tại, dù chưa có kết luận cuối cùng về nguồn gốc của nhóm tin tặc, song Koi Security nhận định rằng có nhiều dấu hiệu cho thấy nhóm này có thể là những đối tượng nói tiếng Nga. Bằng chứng được đưa ra bao gồm các đoạn mã chứa bình luận bằng tiếng Nga và dữ liệu metadata thu được từ máy chủ điều khiển của mã độc.
Để ngăn ngừa mối đe dọa này, các chuyên gia an ninh mạng khuyến cáo người dùng cần hết sức thận trọng, chỉ cài đặt các tiện ích mở rộng từ những nhà phát triển được xác minh và coi chúng như những phần mềm cần được kiểm tra, giám sát chặt chẽ. Người dùng cũng nên cảnh giác với bất kỳ hành vi hoặc cập nhật bất thường nào trên các tiện ích đã cài đặt.
