Foto von Forscher des Sicherheitsunternehmens Koi haben eine laufende Kampagne entdeckt, die schädliche Wallet-Erweiterungen für Firefox verbreitet. Die Schadsoftware imitiert die gängigsten Wallets, stiehlt private Passwörter und macht Nutzer anfällig für Geldwäsche.
Eine laufende Kampagne verbreitet schädliche Browsererweiterungen, die gängige Krypto-Wallets für Firefox imitieren. Koi Security stellte fest, dass einige dieser Apps entfernt wurden, während andere weiterhin aktiv sind und sich als legitime Wallets ausgeben.
Das SlowMist-Angriffsteam warnte die Nutzer außerdem zur Wachsamkeit, da der Angriff noch aktiv ist. Die gefälschten Apps verbreiten sich über den offiziellen Firefox-App-Store und sind dadurch potenziell noch irreführender und gefährlicher.
🚨SlowMist TI-Alarm🚨
Eine massive Cyberangriffskampagne mit Dutzenden gefälschter Firefox- dent abzielt, Zugangsdaten von Kryptowährungs-Wallets zu stehlen . Über 40 gefälschte Erweiterungen geben sich als vertrauenswürdige Wallets wie MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX usw. pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3. Juli 2025
Der Angriff ist relativ einfach, zielt aber auf die unbedarfteste Nutzergruppe ab, die nur gelegentlich auf Kryptowährungen zugreifen möchte. Die Verwendung einer manipulierten App oder die Eingabe privater Phrasen kann zu erheblichen Verlusten führen. Nutzer melden bereits Verluste durch gefälschte Apps.
Hackerangriffe und Sicherheitslücken-Exploits nahmen in der ersten Hälfte des Jahres 2025 mit dem Wertanstieg von Kryptowährungen deutlich zu. Auch von nordkoreanischen Hackern , die in Projekte eindrangen, ging eine Bedrohung aus; Hunderte von Projekten könnten potenziell von Schadcode betroffen sein.
Gefälschte Firefox-Erweiterungen zielen auf die am weitesten verbreiteten Wallets ab
Koi hat gefälschte Apps für einige der am weitesten verbreiteten Wallet-Erweiterungen abgefangen, darunter Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet und Filfox.
Die Forscher entdeckten über 40 Apps, die sich als digitale Geldbörsen ausgeben, und ständig tauchen neue auf. Einige dieser gefälschten Geldbörsen sind weiterhin über inoffizielle Links erreichbar. Laut den Forschern verbreiteten sich die gefälschten Apps ab etwa April 2025.
Die Erweiterungentracund versenden Wallet-Erweiterungen an einen vom Angreifer kontrollierten Server. Die Apps übermitteln außerdem die IP-Adresse des Nutzers zur tracund für weitere gezielte Angriffe.
Angreifer klonten den Open-Source-Code legitimer Wallets
Der Angriff war relativ einfach und nutzte häufig den legitimen Wallet-Code von Open-Source-Projekten wie MetaMask. Die gefälschten Apps schleusten dann Schadcode ein, um es der Wallet zu ermöglichen, Daten unddentzu stehlen.
Die gefälschten Wallet-Apps waren in den App-Stores aktiv und verwendeten dieselben Logos und dasselbe Design wie die Original-Wallet. Während gefälschte Wallets bisher vor allem Nischenprojekte ins Visier genommen hatten, ahmte der Angreifer diesmal Multi-Asset-Wallets nach, die häufig für DeFi, Trading, NFTs und andere On-Chain-Aufgaben genutzt werden.
Die Codeanalyse ergab, dass der Angriff höchstwahrscheinlich aus Russland stammt, da in einigen Anwendungen russischsprachige Codekommentare gefunden wurden. Metadaten einer Datei auf einem der Command-and-Control-Server deuten ebenfalls auf einen russischen Angreifer hin.
Koi empfiehlt Nutzern, einen Filter für zulässige Apps zu installieren und Apps nur nach vorheriger Prüfung herunterzuladen. Manche Apps zeigen zunächst keine Probleme, aktualisieren sich aber später und ändern dadurch ihr Verhalten. Sicherheitsexperten raten außerdem davon ab, direkt nach Apps zu suchen, da die Ergebnisse auf gefälschte Wallets mit bewusst übertriebenen Fünf-Sterne-Bewertungen hinweisen könnten. Am besten nutzt man die offizielle Webseite oder die Social-Media-Kanäle der Wallet.
Den Nutzern wurde außerdem geraten, skeptisch zu sein, wenn sie eine App mit zu vielen Fünf-Sterne-Bewertungen sehen, die künstlich platziert wurden, um die App etabliert und seriös erscheinen zu lassen.
