Вредоносное дополнение Firefox Safepal Wallet похитило криптовалюту

33
Mozilla обновляет старые клиенты Thunderbird до последней версии

Вредоносная надстройка Firefox под названием Safepal Wallet обманывала пользователей, опустошая их кошельки, и жила на сайте надстроек Mozilla в течение семи месяцев.

Safepal — это приложение-кошелек для криптовалюты, способное безопасно хранить более 10 000 типов активов, включая Биткойн, Эфириум и Лайткойн.

Хотя вредоносная надстройка браузера была удалена, BleepingComputer обнаружил, что фишинговый веб-сайт, созданный злоумышленниками, все еще работает.

4000 долларов потеряно из-за вредоносного надстройки Firefox

«Сегодня я просмотрел [через] список надстроек Mozilla Firefox, я искал расширение кошелька Safepal, чтобы использовать мой кошелек с криптовалютой также в веб-браузере», — объясняет пользователь надстроек Mozilla по имени Кали.

Кали мало знала, что их ждет. Через несколько часов после установки и входа в надстройку с настоящими учетными данными Safepal пользователь увидел, что баланс его кошелька упал до 0 долларов.

«Я был в шоке … Я увидел свои последние транзакции и увидел, что [4000 долларов моих средств] были переведены в другой кошелек. Я не мог поверить, что это [было] надстройкой, развернутой в списке надстроек Mozilla Firefox, — продолжает пользователь на форуме поддержки Mozilla.

На странице надстройки для Safepal Wallet, которую видел BleepingComputer, говорилось, что надстройка была запущена как минимум с 16 февраля 2021 года.

На той же странице надстройка размером 235 КБ рекламируется как приложение Safepal, которое надежно «сохраняет локальный закрытый ключ» вместе с убедительными изображениями продуктов и маркетинговыми материалами.

Чтобы опубликовать надстройку на веб-сайте Mozilla, разработчики должны следовать процессу отправки, который гласит, что отправленные надстройки «подлежат проверке Mozilla в любое время». Но неясно, в какой степени материалы проверяются на предмет их безопасности.

В течение пяти дней после публичного сообщения Кали об инциденте в этом месяце представитель Mozilla ответил, что они проводят расследование. С тех пор страница была удалена Mozilla.

Хотя у Safepal есть официальные приложения для смартфонов, доступные как в Apple AppStore, так и в Google Play, мы не знаем о существовании подлинных расширений браузера Safepal.

Но для Кали это кажется слишком поздним этапом игры, и шансы на то, что они вернут свои средства, невелики.

«Я уже разговаривал с полицией, они ничего не могут для меня сделать. Они сказали мне, что они не могут отследить хакера. Единственное решение, которое мне остается, — это, может быть, некоторые из вас могут помочь мне, выяснив, кто хакер был и как я могу вернуть свои средства », — заявляет пользователь.

Фишинговый домен Safepal продолжает работать

При исследовании вредоносной надстройки Firefox BleepingComputer обнаружил фишинговый домен, используемый надстройкой. Эта веб-страница, показанная ниже, также была указана как ссылка «сайт поддержки» на домашней странице поддельного дополнения:

https://safeuslife.com/tool/

Записи WHOIS показывают, что фишинговый сайт был зарегистрирован в январе этого года через Namecheap. На момент написания веб-страница все еще активна и дает указание жертве ввести свою «резервную фразу из 12 слов в правильном порядке для сопряжения вашего кошелька SafePal».

Но как только фраза для восстановления введена и форма отправлена, страница просто обновляется без какого-либо заметного ответа. Фраза восстановления незаметно отправляется злоумышленнику.

Кошельки с криптовалютой, как и многие онлайн-сервисы, используют резервную фразу, состоящую из двенадцати случайно сгенерированных слов, которые можно использовать для восстановления закрытого ключа и кошелька пользователя, если они забудут свой пароль. Но фраза для восстановления — это важный секрет, который следует использовать в исключительных обстоятельствах и только в доверенном приложении или на веб-сайте поставщика услуг.

Украденная фраза для восстановления может предоставить злоумышленникам контроль над вашим кошельком, а также возможность доступа и перевода средств.

В последнее время мошенничество с криптовалютой растет, и злоумышленники находят инновационные и трудно обнаруживаемые способы обманывать пользователей. Буквально на прошлой неделе кто-то взломал официальный сайт Bitcoin.org и успешно обманул посетителей на 17000 долларов.

В ранее замеченных атаках репозитории с открытым исходным кодом, включая npm , PyPI и GitHub , использовались для распространения вредоносных программ для криптографии и майнинга криптовалют.

В связи с растущим присутствием злоумышленников на онлайн-платформах пользователи должны проявлять осторожность, предоставляя свои защитные фразы или переводя криптовалюту онлайн.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here