모질라 파이어폭스 사용자를 겨냥한 대규모 피싱 공격이 진행 중인 가운데, 40개 이상의 가짜 확장 프로그램이 사용자 암호화폐 지갑 정보를 빼내기 위해 사용된 사실이 드러났다. 사이버보안 업체 코이 시큐리티(Koi Security)에 따르면, 이들 확장 프로그램은 코인베이스(Coinbase), 메타마스크(MetaMask), 트러스트월렛(Trust Wallet), 팬텀(Phantom), 엑소더스(Exodus), OKX, 마이모네로(MyMonero), 비트겟(Bitget) 등 인기 지갑 애플리케이션을 위장한 것으로 확인됐다.
이번 피싱 캠페인은 올해 4월부터 시작된 것으로 추정되며, 최근 일주일 사이에도 새로운 악성 확장 프로그램이 업로드되는 등 활동이 현재진행형이라는 점이 더욱 우려를 키우고 있다. 사용자들이 이 확장 프로그램을 설치하면 지갑 로그인 정보가 실시간으로 공격자의 원격 서버에 전송되는 방식이다.
코이 시큐리티는 “지금까지 해당 공격 캠페인과 관련된 40개 이상의 확장 프로그램을 추적해냈으며, 아직 공격이 종료되지 않았다”고 밝혔다. 특히 공격자들은 기존에 신뢰받는 플랫폼을 모방하고 있어 일반 사용자들이 피해 사실을 인지하기 어렵다는 점에서 주의가 필요하다.
이번 공격은 암호화폐 사기에 있어 여전히 가장 흔하면서도 효과적인 수법으로 꼽히는 ‘지갑 피싱’을 활용했다. 지갑 서비스의 이름과 UI를 모방한 확장 프로그램이 공식 사이트를 가장해 정보를 탈취하는 방식이 반복되고 있는 것이다. 전문가들은 신뢰할 수 있는 소스 외에는 확장 프로그램 설치를 지양하고, 공식 웹사이트 또는 검증된 경로만을 이용해야 한다고 경고하고 있다.