All’inizio di luglio erano state scoperte oltre 40 estensioni. A distanza di un mese, gli stessi ricercatori di Koi Security hano individuato altri 150 add-on per Firefox sul sito ufficiale di Mozilla. Anche in questo caso, l’obiettivo della campagna GreedyBear è rubare le criptovalute.
Sistema anti crypto drainer poco efficace?
Secondo gli esperti di Koi Security, il gruppo GreedyBear ha già guadagnato oltre un milione di dollari attraverso 150 estensioni che sembrano quelle legittime di popolari wallet, tra cui MetaMask, TronLink, Exodus e Rabby Wallet. Per aggirare i controlli di sicurezza è stata sfruttata una tecnica denominata Extension Hollowing.
I cybercriminali creano innanzitutto un account sviluppatore. Caricano quindi alcune estensioni innocue e pubblicano numerose recensioni false per ottenere credibilità. Dopo alcuni giorni vengono cambiati nome e icona e iniettato il codice infetto che cattura le credenziali dei wallet direttamente dal campo di input nell’interfaccia dell’add-on (come un keylogger). Al server remoto viene anche inviato l’indirizzo IP della vittima.
Mozilla aveva annunciato un sistema che identifica automaticamente le estensioni “crypto drainer”. Probabilmente deve essere ancora ottimizzato. Secondo Koi Security, la campagna Foxy Wallet di inizio luglio era solo un assaggio. Tutte le estensioni della campagna GreedyBear sono state rimosse, ma i cybercriminali sfruttano altri mezzi per distribuire malware che permettono di rubare le criptovalute.
Tramite VirusTotal sono stati individuati quasi 500 eseguibili Windows infetti, molti dei quali presenti su siti di software pirata. Tra i malware ci sono ovviamente noti infostealer, come Lumma Stealer, ma anche ransomware e trojan. L’infrastruttura usata è la stessa delle estensioni per Firefox (tutti i domini puntano ad un unico indirizzo IP), quindi le attività illecite sono eseguite dalle stesse persone.
I cybercriminali si preparano ora ad estendere il raggio di azione al Chrome Web Store. È stata già scoperta un’estensione per Chrome con funzionalità simili a quelle per Firefox. L’intelligenza artificiale generativa permette di scrivere più velocemente il codice degli add-on.