12 брендов, 40 подделок, 1 год обмана: анатомия криптоограбления в Firefox

Выглядят как настоящие, но работают на тех, кто вас обворовывает.


xpdy9t9pq9t75p0zz2we1ukqipinle0o.jpg


Специалисты компании Koi Security выявили более 40 вредоносных расширений для браузера Mozilla Firefox, которые были созданы с целью кражи данных криптовалютных кошельков. Эти дополнения представляют серьёзную угрозу для безопасности цифровых активов пользователей.

Злоумышленники маскировали свои вредоносные расширения под официальные инструменты популярных криптокошельков. В их числе оказались такие известные сервисы, как Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox. При этом внешне расширения выглядели как настоящие — с теми же логотипами и названиями.

Известно, что кампания по распространению поддельных расширений продолжается как минимум с апреля 2025 года. Причём новые версии были загружены в официальный магазин дополнений Firefox буквально на прошлой неделе.

Для создания видимости популярности злоумышленники использовали накрутку отзывов. Они добавляли сотни фальшивых пятизвёздочных оценок, которые значительно превышали количество реальных установок. Благодаря этому создавалось ложное впечатление доверия со стороны сообщества и высокая востребованность этих дополнений.

Дополнительное доверие к вредоносным расширениям формировалось за счёт использования открытого исходного кода реальных кошельков. Это позволяло злоумышленникам скопировать официальный функционал, незаметно внедрив в код вредоносные элементы. В результате расширения выглядели и работали почти как оригинальные, однако содержали скрытые механизмы для кражи конфиденциальных данных.

Вредоносные функции позволяли перехватывать ключи доступа и начальные фразы (seed-фразы) от криптовалютных кошельков, вводимые пользователями на целевых сайтах. Кроме того, расширения отправляли на удалённый сервер IP-адреса жертв.

В отличие от традиционных мошеннических схем, основанных на поддельных сайтах или фишинговых письмах, эти расширения действуют внутри браузера. Это делает их особенно опасными, так как обнаружить их стандартными средствами защиты гораздо сложнее.

Mozilla удалила все выявленные вредоносные расширения, кроме одного — MyMonero Wallet, которое по-прежнему остаётся доступным. В компании также недавно сообщили , что разработали систему раннего обнаружения, позволяющую выявлять и блокировать мошеннические расширения для криптокошельков до того, как они наберут популярность и начнут использоваться для кражи активов.

К слову, недавно команда PT SWARM из Positive Technologies сообщила об устранении уязвимости CVE-2025-6430 в браузере Firefox, которая открывала злоумышленникам возможность обхода механизма безопасной загрузки файлов. Проблема заключалась в некорректной интерпретации браузером заголовка «Content-Disposition», определяющего, как именно следует обращаться с загружаемыми файлами.

Чтобы минимизировать риск угрозы установки поддельных расширений, специалисты рекомендуют загружать расширения только от проверенных разработчиков и тщательно следить за их поведением, чтобы вовремя заметить возможные изменения.