FoxyWallet: Über 40 schadhafte Firefox-Erweiterungen tarnen sich als Krypto-Tools

Sicherheitsforscher von Koi Security haben eine umfassende Kampagne aufgedeckt, bei der über 40 bösartige Firefox-Erweiterungen zum Einsatz kamen. Ziel der Angreifer: der Diebstahl sensibler Zugangsdaten zu Kryptowährungs-Wallets. Die Erweiterungen geben sich als legitime Tools bekannter Plattformen wie Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet und Filfox aus. Nach der Installation spionieren sie im Hintergrund heimlich die Wallet-Zugangsdaten der Nutzer aus und senden diese an externe Server – ein erhebliches Risiko für betroffene Krypto-Besitzer.

Die Schadsoftware ist zum Teil weiterhin aktiv und teilweise sogar noch über offizielle Kanäle erhältlich. Koi Security konnte die einzelnen Erweiterungen durch die Analyse gemeinsamer Methoden (TTPs) und technischer Infrastrukturen miteinander verknüpfen. Die Kampagne stellt eine ernste Bedrohung für die Sicherheit digitaler Vermögenswerte dar.

„Nach aktuellen Erkenntnissen ist die bösartige Erweiterungskampagne mindestens seit April 2025 aktiv – und sie dauert an. Erst in der vergangenen Woche wurden erneut neue schädliche Add-ons im offiziellen Firefox-Erweiterungsshop entdeckt. Die wiederholten Uploads deuten darauf hin, dass die Angreifer ihre Aktivitäten nicht nur fortsetzen, sondern auch kontinuierlich weiterentwickeln“, so die Sicherheitsforscher.

Die manipulierten Erweiterungen greifen gezielt auf Anmeldedaten von Kryptowährungs-Wallets zu, indem sie Login-Informationen direkt auf den Zielwebsites abfangen und an einen von den Angreifern kontrollierten Remote-Server übermitteln. Bereits bei der ersten Ausführung übermitteln sie außerdem die externe IP-Adresse des Nutzers – offenbar, um Opfer gezielt identifizieren oder verfolgen zu können.

Der Angreifer hat das Branding legitimer Wallet-Tools sorgfältig nachgeahmt und dabei identische Namen und Logos wie die echten Dienste verwendet, die er imitierte. Diese optische Ähnlichkeit erhöht die Wahrscheinlichkeit, dass ahnungslose Nutzer die Tools versehentlich installieren.

Erweiterungsbewertungen im Firefox-Add-ons-Store / Quelle: Koi Security

In mehreren Fällen nutzte der Angreifer die Tatsache aus, dass offizielle Erweiterungen Open Source sind. Er klonte die echten Codebasen und fügte seine eigene bösartige Logik ein, wodurch Erweiterungen entstanden, die sich wie erwartet verhielten, während sie heimlich sensible Daten stahlen. Durch diesen Aufwandsparenden Ansatz mit großer Wirkung konnte der Angreifer die erwartete Benutzererfahrung aufrechterhalten und gleichzeitig die Wahrscheinlichkeit einer sofortigen Entdeckung verringern.

Zuordnung

Die Zuordnung ist zwar noch vorläufig, aber mehrere Hinweise deuten auf einen russischsprachigen Angreifer hin. Dazu gehören

• russischsprachige Kommentare, die in den Erweiterungscode eingebettet sind.
• Metadaten, die in einer PDF-Datei gefunden wurden, die von einem für die Operation verwendeten Command-and-Control-Server abgerufen wurde.

Diese Artefakte sind zwar nicht schlüssig, deuten jedoch darauf hin, dass die Kampagne von einer russischsprachigen Gruppe von Angreifern stammen könnte.

Empfehlungen

• Installieren Sie Erweiterungen nur von verifizierten Anbietern und seien Sie auch bei hoch bewerteten Einträgen vorsichtig.
• Behandeln Sie Browser-Erweiterungen wie vollständige Software-Assets – sie müssen überprüft, überwacht und Richtlinien unterliegen.
• Verwenden Sie eine Erweiterungs-Whitelist und beschränken Sie die Installation auf vorab genehmigte, validierte Erweiterungen.
• Implementieren Sie eine kontinuierliche Überwachung, nicht nur eine einmalige Überprüfung. Erweiterungen können sich nach der Installation automatisch aktualisieren und ihr Verhalten unbemerkt ändern.

Quelle: https://blog.koi.security/

---