„FoxyWallet“: Mehr als 40 bösartige Firefox-Add-ons entdeckt

Eine groß angelegte Malware-Kampagne setzt auf gefälschte Firefox-Erweiterungen. Die Täter versuchen damit, Zugangsdaten von Krypto-Wallets zu stehlen und diese leerzuräumen. Mehr als 40 solcher bösartigen Add-ons haben die IT-Sicherheitsforscher aufgespürt.

Das schreibt Koi Security in einer Analyse. Demnach imitieren die gefälschten Erweiterungen die legitimen Krypto-Wallets und -Tools von weiter verbreiteten Plattformen. Die IT-Forscher nennen als imitierte Marken Bitget, Coinbase, Ethereum Wallet, Exodus, Filfox, Keplr, Leap, MetaMask, MyMonero, OKX, Phantom und Trust Wallet. Haben Nutzerinnen und Nutzer die bösartigen Erweiterungen erst einmal installiert, leitet sie still die Wallet-Secrets aus und bringt damit die Inhalte der User-Wallets in Gefahr.

Malware-Kampagne noch aktiv

Mehr als 40 solcher Malware-Erweiterungen haben die IT-Forscher bislang entdeckt. Die Kampagne laufe noch weiter, einige der bösartigen Add-ons sogar noch im Marketplace von Firefox verfügbar. Ihren Anfang nahm die Kampagne laut Koi Security spätestens im April dieses Jahres. Neue bösartige Erweiterungen haben die Täter noch bis vergangene Woche in den Firefox-Add-on-Store hochgeladen. Da solche Uploads weiterhin erfolgen, deute das darauf hin, dass die Operation noch aktiv ist, nachhaltig und sich weiterentwickelnd, erörtern die IT-Forscher.

Die Erweiterungen extrahieren die Zugangsdaten der Wallets direkt von deren Ziel-Webseiten und schicken sie an einen Server im Netz, der unter der Kontrolle der Angreifer steht. Dabei übertragen die Add-ons auch die externe IP des Opfers, vermutlich zur Nachverfolgung.

Die Kampagne setze auf die üblichen Marktplatz-Mechanismen, um Vertrauen zu erschleichen. Die Bewertungen, Rezensionen, Branding und Funktionen sollen das Vertrauen von Nutzern wecken und die Zahl der Installationen hochtreiben. Die bösartigen Add-ons haben teils hunderte gefälschte Rezensionen mit 5-Sterne-Wertung erhalten, die die Zahl der Nutzer weit übersteigt. Das erweckt den Anschein, ein Add-on sei weitverbreitet und positiv bewertet. Zudem orientieren sich die kriminellen Drahtzieher am offiziellen Branding legitimer Wallet-Tools und nutzen identische Logos und Namen. Bei einigen Erweiterungen haben die Täter zudem deren Open-Source-Natur missbraucht und haben den Code einfach um Code zum Stehlen der Zugangsdaten ergänzt. Die scheinen wie gewünscht zu funktionieren und haben lediglich die unbemerkte Nebenfunktion, die Zugangsdaten zu stehlen. Eine Entdeckung der bösen Absichten erschwert das deutlich.

Da der Code einige russische Kommentare enthält, geht Koi Security von Akteuren aus Russland aus. Metadaten in einer PDF-Datei, die von einem Command-and-Control-Server stammt, deuten ebenfalls dorthin.

Schutz gestaltet sich schwieriger

Schutzmaßnahmen sind schwierig: Erweiterungen sollten nur von verifizierten Publishern installiert werden – aber selbst bei vielen guten Bewertungen gibt es keine Garantie, dass die Erweiterungen echt sind. Unternehmen sollten das Bedrohungspotenzial von Browser-Erweiterungen wie übliche Softwarepakete einstufen und sie überwachen und übliche Richtlinien darauf anwenden. Außerdem können Organisationen auf eine Liste erlaubter Erweiterungen setzen, sodass nur geprüfte Erweiterungen zum Einsatz kommen.

Die Analyse listet am Ende die Namen der bislang erkannten bösartigen Add-ons sowie einige etwa mit Command-and-Control-Servern verknüpfte Domains auf. Nutzer sollten die installierten Add-ons auf Übereinstimmungen prüfen und sicherstellen, die Add-ons vom echten Anbieter installiert zu haben.

Browser-Erweiterungen sind öfter Ziel von Cyberkriminellen. Anfang des Jahres wurden etwa zahlreiche Entwickler von Erweiterungen für Google Chrome offenbar Opfer von Phishing-Attacken. Die Angreifer missbrauchten die erlangten Zugänge, um bösartig manipulierte Versionen der Add-ons in den Chrome Web Store zu verfrachten und so Opfern unterzuschieben.

(dmk)