Pahatahtlik Firefoxi lisandmoodul nimega 'Safepal Wallet' pettis kasutajaid rahakoti tühjendamisega ja elas seitse kuud Mozilla lisandmoodulite saidil.
Safepal on krüptovaluuta rahakotirakendus, mis mahutab turvaliselt rohkem kui 10 000 tüüpi varasid, sealhulgas Bitcoini, Ethereumi ja Litecoini.
Kuigi pahatahtlik brauseri pistikprogramm eemaldati, on BleepingComputer näinud, et ohtude kirjutajate loodud andmepüügiveebisait on endiselt aktiivne.
4000 dollarit kaotati pahatahtliku Firefoxi lisandmooduli tõttu
'Täna olen sirvinud [läbi] Mozilla Firefoxi lisandmoodulite loendit, otsisin Safepali rahakotilaiendit, et kasutada oma krüptoraha rahakotti ka veebibrauseris,' selgitab Mozilla lisandmooduli kasutaja nimega Cali.
Cali ei teadnud, mis nendega juhtub. Mõni tund pärast pistikprogrammi installimist ja oma tõeliste Safepali mandaatidega sisselogimist nägi kasutaja, et nende rahakoti saldo langes 0 dollarile.
„Olin sügavalt šokeeritud... Vaatasin oma viimaseid tehinguid ja nägin [4000 dollarit minu rahast] teise rahakotti üle kantud. Ma ei suutnud uskuda, et see [oli] lisandmoodul, mida levitati Mozilla Firefoxi lisandmoodulite loendis,” jätkab kasutaja Mozilla tugifoorumis.
Võlts 'Safepal Wallet' lisandmoodul Mozilla Firefoxi poes (arvuti piiksub)
BleepingComputeri poolt vaadatud „Safepal Walleti” pistikprogrammide leht näitas, et pistikprogramm oli olnud aktiivne vähemalt 16. veebruarist 2021.
Samal lehel maskeeritakse 235 KB pistikprogramm Safepali rakendusena, et turvaliselt salvestada privaatvõtmed kohapeal koos atraktiivsete tootepiltide ja turundusmaterjalidega.
Viis päeva pärast sel kuul Cali juhtumi avalikku aruannet vastas Mozilla pressiesindaja, et nad uurivad. Leht on vahepeal Mozillast eemaldatud.
Kuigi Safepalil on ametlikud nutitelefonirakendused saadaval nii Apple AppStore'is kui ka Google Plays, ei ole me teadlikud ehtsate Safepali brauserilaiendite olemasolust.
Õnneks on mõned kasutajad Mozilla lisandmoodulite saidile postitanud ühe tärni arvustused, hoiatades teisi mitte alla laadima 'Safepal Walletit':
Kasutajate ülevaated võltsitud Safepali pistikprogrammidest (arvuti piiksub)
Kuid Cali jaoks tundub, et see on liiga hilja ja võimalus raha tagasi saada on väike.
'Ma juba rääkisin politseiga, et nad ei saa minu heaks midagi teha. Nad ütlesid mulle, et nad ei saa häkkerit kuidagi jälgida. Ainus lahendus, mis mulle jääb, on see, et võib-olla saab mõni teist aidata mul välja selgitada, kes ta on. häkker oli ja kuidas ma saan oma raha tagasi saada,' ütleb kasutaja.
Andmepüügidomeen „Safepal” on endiselt aktiivne ja kogub taastamisfraase.
Pahatahtlikku Firefoxi lisandmoodulit uurides leidis BleepingComputer lisandmooduli kasutatud andmepüügidomeeni. See allpool näidatud veebileht lisati ka võltsitud pistikprogrammi avalehele tugisaidi lingina:
https://safeuslife.com/tool/
WHOIS-i kirjed näitavad, et andmepüügisait registreeriti selle aasta jaanuaris Namecheapi kaudu. Selle kirjutamise ajal on veebileht endiselt aktiivne ja palub ohvril sisestada SafePali rahakoti sidumiseks 12-sõnaline varufraas õiges järjekorras.
Andmepüügileht palub Safepali rahakoti kasutajal sisestada taastefraas. (arvuti piiksub)
Kuid kui sisestate taastamisfraasi ja esitate vormi, värskendatakse lehte ilma ilmse vastuseta. Taasteavaldus saadetakse vaikselt ründajale.
Krüptovaluuta rahakotid, nagu paljud võrguteenused, kasutavad kaheteistkümnest juhuslikult genereeritud sõnast koosnevat varufraasi, mida saab kasutada kasutaja privaatvõtme ja rahakoti taastamiseks, kui ta peaks oma parooli unustama. Lähtestamisfraas on aga ülioluline saladus, mis on mõeldud kasutamiseks harvadel juhtudel ja ainult usaldusväärse teenusepakkuja rakenduses või veebisaidil.
Varastatud taastamisfraas võib anda ründajatele kontrolli teie rahakoti üle ning võimaluse rahale juurde pääseda ja raha üle kanda.
Viimasel ajal on krüptovaluutapettused tõusuteel ning ohus osalejad on leidnud uuenduslikke ja raskesti tuvastatavaid viise kasutajate petmiseks. Eelmisel nädalal häkkis keegi ametlikule Bitcoin.org veebisaidile ja pettis külastajatelt edukalt välja 17 000 dollarit.
Ülaltoodud rünnakute puhul kuritarvitati avatud lähtekoodiga hoidlaid, sealhulgas npm, PyPI ja GitHub, et levitada krüptoraha kaevandamist ja krüptovarastamist.
Seoses ohus osalejate arvu suurenemisega veebiplatvormidel peaksid kasutajad turvalausete esitamisel või krüptovaluutade veebis ülekandmisel olema ettevaatlikud.
BleepingComputer on pöördunud Mozilla ja Safepali poole, et saada täiendavaid kommentaare ning me ootame nende vastuseid. Teavitasime kõnealusest andmepüügidomeenist ka Namecheapi.
Mida sa arvad?
