GreedyBear заразил Firefox. Миллион долларов ушёл вместе с приватными ключами
NewsMakerИИ, трояны и миллионы долларов: как остановить эту эпидемию?
Масштабная кампания под названием GreedyBear проникла в магазин дополнений Mozilla, заразив Firefox 150 вредоносными расширениями и похитив около миллиона долларов у пользователей. По данным Koi Security, злоумышленники маскировали своё ПО под популярные криптовалютные кошельки MetaMask, TronLink и Rabby. На первом этапе в магазин загружались безопасные версии, которые проходили модерацию и собирали фальшивые положительные отзывы. Затем авторы меняли названия, логотипы и внедряли код для кражи данных.
Модифицированные расширения перехватывали ввод в формах или всплывающих окнах, отправляя украденные ключи и IP-адреса жертв на удалённый сервер. По словам представителя Koi Security Туваля Адмони, код фиксировал учётные данные прямо в интерфейсе самого расширения, а при инициализации передавал IP-адрес для возможной идентификации или отбора целей.
Кампания была подкреплена сетью веб-сайтов с пиратским софтом, распространявших около 500 вредоносных исполняемых файлов. Дополнительно использовались фальшивые страницы, выдававшие себя за сервисы Trezor, Jupiter Wallet и фиктивные «мастерские» по восстановлению криптокошельков. Эти ресурсы распространяли трояны, похитители данных вроде LummaStealer и даже программы-шифровальщики. Все они вели к одному и тому же IP-адресу, который выполнял роль центра управления.
Koi Security передала данные Mozilla, и вредоносные расширения удалили из каталога, однако масштаб и простота реализации показали, как ИИ помогает преступникам быстро разрабатывать и масштабировать такие схемы. Анализ кода выявил признаки автоматической генерации, что позволило атакующим быстрее менять полезную нагрузку и уходить от обнаружения.
В прошлом месяце Firefox уже столкнулся с аналогичной атакой — более 40 поддельных расширений копировали известные криптокошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Это произошло несмотря на то, что в июне 2025 года Mozilla внедрила систему для выявления подобных дополнений.
Исследователи отмечают, что GreedyBear может выйти за пределы Firefox — уже зафиксировано вредоносное расширение Filecoin Wallet в Chrome Web Store, использующее тот же код кражи данных и связывающееся с тем же сервером. Специалисты советуют скачивать кошельки только по ссылкам с официальных сайтов и тщательно проверять сведения о разработчике и отзывы.
Масштабная кампания под названием GreedyBear проникла в магазин дополнений Mozilla, заразив Firefox 150 вредоносными расширениями и похитив около миллиона долларов у пользователей. По данным Koi Security, злоумышленники маскировали своё ПО под популярные криптовалютные кошельки MetaMask, TronLink и Rabby. На первом этапе в магазин загружались безопасные версии, которые проходили модерацию и собирали фальшивые положительные отзывы. Затем авторы меняли названия, логотипы и внедряли код для кражи данных.
Модифицированные расширения перехватывали ввод в формах или всплывающих окнах, отправляя украденные ключи и IP-адреса жертв на удалённый сервер. По словам представителя Koi Security Туваля Адмони, код фиксировал учётные данные прямо в интерфейсе самого расширения, а при инициализации передавал IP-адрес для возможной идентификации или отбора целей.
Кампания была подкреплена сетью веб-сайтов с пиратским софтом, распространявших около 500 вредоносных исполняемых файлов. Дополнительно использовались фальшивые страницы, выдававшие себя за сервисы Trezor, Jupiter Wallet и фиктивные «мастерские» по восстановлению криптокошельков. Эти ресурсы распространяли трояны, похитители данных вроде LummaStealer и даже программы-шифровальщики. Все они вели к одному и тому же IP-адресу, который выполнял роль центра управления.
Koi Security передала данные Mozilla, и вредоносные расширения удалили из каталога, однако масштаб и простота реализации показали, как ИИ помогает преступникам быстро разрабатывать и масштабировать такие схемы. Анализ кода выявил признаки автоматической генерации, что позволило атакующим быстрее менять полезную нагрузку и уходить от обнаружения.
В прошлом месяце Firefox уже столкнулся с аналогичной атакой — более 40 поддельных расширений копировали известные криптокошельки Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Это произошло несмотря на то, что в июне 2025 года Mozilla внедрила систему для выявления подобных дополнений.
Исследователи отмечают, что GreedyBear может выйти за пределы Firefox — уже зафиксировано вредоносное расширение Filecoin Wallet в Chrome Web Store, использующее тот же код кражи данных и связывающееся с тем же сервером. Специалисты советуют скачивать кошельки только по ссылкам с официальных сайтов и тщательно проверять сведения о разработчике и отзывы.