Кибератаки, нацеленные на криптовалюты, постоянно развиваются, и киберпреступники недавно выпустили новую волну механизмов кражи средств с кошельков. Эти кибератаки нацелены на пользователей через два основных вектора: вредоносные расширения для Firefox и сложное вредоносное ПО для Mac, сообщают фирмы по кибербезопасности SlowMist и Sentinel Labs.
Более 40 поддельных расширений браузера выдают себя за популярные криптокошельки для Mozilla Firefox
Среди них — MetaMask, Coinbase Wallet и Phantom. Эти поддельные расширения идут на всё, чтобы обмануть пользователей, создавая ложное чувство безопасности: имитируют брендинг, завышают количество отзывов и даже клонируют код с открытым исходным кодом, чтобы выглядеть абсолютно легитимно. После загрузки они незаметно крадут данные учётных записей пользователей из кошельков.
Пользователи Mac становятся жертвами новой итерации сложной социальной инженерии через такие приложения для обмена сообщениями, как Telegram
Затем им отправляют поддельное обновление Zoom, которое устанавливает вредоносное ПО NimDoor. Оно регистрирует нажатия клавиш пользователей, крадёт данные и проникает в криптокошельки.
Чтобы быть по-настоящему в безопасности, лучше всего избегать браузерных кошельков, всегда проверять источники программного обеспечения и выбирать некастодиальные кошельки, такие как Best Wallet.
Best Wallet — это мобильный криптокошелёк, у которого нет официального расширения для браузера, что делает его полностью неуязвимым для подобных атак.
Злонамеренные расширения Firefox крадут данные криптокошельков
Обнаружена крупномасштабная кампания с вредоносным ПО, в которой участвуют более 40 поддельных расширений Firefox, выдающих себя за легитимные криптокошельки. Фирма по кибербезопасности Koi Security подтвердила, что эта кампания ведётся по крайней мере с апреля 2025 года.
Эти плагины выдают себя за доверенные имена в криптопространстве, включая MetaMask, Coinbase, Phantom и Trust Wallet, обманом заставляя пользователей передавать свои самые конфиденциальные данные, такие как закрытые ключи и начальные фразы.
Чтобы завоевать доверие пользователей, злоумышленники заполнили страницы загрузки расширений поддельными пятизвёздочными отзывами, знакомым брендингом и завышенными цифрами загрузок. Некоторые из этих расширений всё ещё доступны в магазине Firefox Add-ons, а новые вредоносные расширения были добавлены на прошлой неделе, что указывает на активную и развивающуюся операцию.
Исследователи подозревают, что за кампанией может стоять русскоязычная группа злоумышленников из-за русскоязычных комментариев в коде расширения и метаданных, найденных в PDF-файле, извлечённом с командного сервера, используемого в операции.
Сложно быть уверенным, что какое-либо расширение для браузера безопасно, но пользователи должны проверять каждую установку и не доверять только брендингу или рейтингам. Когда дело доходит до криптокошельков, мобильные решения обычно гораздо сложнее подделать, и в целом они более безопасны.
Вредоносное ПО для Mac нацелено на криптопользователей с помощью поддельных обновлений Zoom
Если этого было недостаточно, пользователи Mac теперь становятся жертвами сложной кампании с вредоносным ПО, имеющей отношение к северокорейским государственным хакерским группам.
Фирма по кибербезопасности Sentinel Labs обнаружила, что атаки начинаются с социальной инженерии через такие платформы, как Telegram, выдавая себя за кого-то, кому жертва, вероятно, доверяет. Затем они заманивают жертву загрузить вредоносный файл под видом обычного обновления программного обеспечения, обычно поддельного обновления Zoom.
После выполнения файл устанавливает NimDoor, скрытое вредоносное ПО, написанное на малоизвестном языке программирования.
NimDoor действует как «полнофункциональный похититель информации», регистрируя нажатия клавиш, записывая экраны, крадя пароли из браузеров и извлекая данные из криптокошельков. Чтобы не быть обнаруженным инструментами безопасности, оно также задерживает активацию на несколько минут.
Другой вариант, CryptoBot, ориентирован именно на проникновение в расширения для браузеров. Эта кампания подчёркивает растущую тенденцию: macOS не обязательно «безопаснее по умолчанию», как многие полагали. Государственно финансируемые хакерские группы теперь активно нацелены на устройства Apple с помощью специализированного вредоносного ПО, предназначенного для кражи средств из криптокошельков.
Почему Best Wallet обеспечивает более высокий уровень безопасности во время кибератак
В то время, когда поддельные расширения для браузеров и сложное вредоносное ПО активно нацелены на пользователей криптовалют, такие продукты, как Best Wallet, выделяются благодаря своей конструкции.
Best Wallet — это мобильный некастодиальный кошелёк, что означает отсутствие официального расширения для браузера, что полностью исключает основной вектор атаки. Если вы видите надстройку для браузера, выдающую себя за Best Wallet, вы можете предположить, что это подделка.
Кроме того, Best Wallet использует технологию MPC (многосторонние вычисления) для защиты ваших закрытых ключей, не сохраняя их в одном месте.
Скачайте официальное приложение Best Wallet, чтобы опережать взломы и социальную инженерию.
Не является инвестиционной рекомендацией.