Így működik a támadás
A kártékony szoftverek valójában billentyűleütés-figyelők: minden, a bővítmény felületén vagy űrlapon beírt adatot rögzítenek, akár előugró ablakban is. A begépelt információk – köztük a privát kulcsok – automatikusan egy távoli szerverre jutnak. A támadók már a bővítmény inicializálásakor továbbítják az IP-címet is, valószínűleg célzott támadások vagy követés céljából.
Orosz féllegális oldalakról is támadnak
A bővítményes adathalászatot orosz nyelvű szoftverkalóz oldalak is támogatják, amelyek 500 különféle vírust – például trójait, infolopókat (mint a LummaStealer), vagy zsarolóprogramokat – terjesztenek. Emellett egy teljes hamis webhálózat szolgálja ki a csalást a Trezor, Jupiter Wallet és ál-javítószolgálatok nevében. Minden érintett oldal ugyanahhoz az IP-címhez kapcsolódik (185.208.156.66), amely a GreedyBear központja.
Az MI is besegített a bűnözőknek
A gyanús kódokat elemzők szerint jól felismerhetők az MI-vel generált részletek: a folyamat egyszerűbb és gyorsabb, könnyű kibővíteni vagy újrafeltölteni, ha le is tiltanák őket. Bár a Mozilla eltávolította az ismert káros modulokat, a módszer sikerességét mutatja, hogy akár teljes tisztítás után is újraéled az egész rendszer – ráadásul már a Chrome Webáruházban (Chrome Web Store) is felbukkant GreedyBear-féle bővítmény (például Filecoin Tárca (Filecoin Wallet)).
Így lehet elkerülni a csaló bővítményeket
Érdemes mindig több értékelést elolvasni, ellenőrizni a kiadókat, és kizárólag a hivatalos weboldalakról vagy azok online áruházba mutató oldalairól telepíteni a kriptotárcákat. Az előző nagy hullám során 40 hasonló bővítmény került be a Firefox áruházba (Firefox Store), holott a Mozilla korábban is próbálkozott ezek szűrésével, mégsem sikerült teljesen kiszűrnie őket.
