Oltre 150 estensioni Mozilla fasulle — Un unico backend e pubblicità a pagamento
I media hanno attribuito la responsabilità di oltre 150 estensioni Mozilla contraffatte ai “russi”. Le nostre indagini rivelano l’esistenza di un’infrastruttura nigeriana (IP 185.208.156.66), l’utilizzo di kit di phishing riutilizzati e il ruolo degli articoli a pagamento nella diffusione di questa bufala.
La narrazione fuorviante
Una storia su "Oltre 150 estensioni Mozilla false" La notizia, collegata a una presunta “pista russa”, è stata amplificata dai principali media specializzati in criptovalute e sicurezza. Sembra sensazionale, ma la nostra analisi dimostra che questa versione dei fatti è fuorviante — e, peggio ancora, copre i veri responsabili.
Oltre 150 estensioni di bassa qualità su un unico backend
Tutte le estensioni di questa campagna erano:
- Non originale, sembra un copia-incolla.
- Cambiavano solo i loghi e i nomi.
- Il tutto collegato a un backend singolo.
185.208.156.66Il dominio del backend era
alladdsite[.]digital/app.php. La maggior parte dei domini associati a questo indirizzo IP non è più attiva, ma gli archivi ne hanno conservato alcune istantanee tramite Urlscan e WebArchive. Le nostre iniziative contro questa campagna
In qualità di gruppo indipendente di intelligence sulle minacce, specializzato nelle rimozioni di infrastrutture utilizzate per il phishing e le truffe, noi:
- Ho inviato segnalazioni direttamente a Mozilla per segnalare estensioni dannose.
- Inoltrato a Sigillo, chiedendo assistenza professionale per accelerare il processo di messa al bando.
- È stato pubblicato un rapporto su Chainabuse per dare visibilità alla comunità.
- Ha inserito milioni di frasi seed vuote nel backend degli aggressori per corrompere i dati rubati.
Perché questa non è un'infrastruttura "russa"
Gli autori di attacchi informatici di lingua russa utilizzano in genere:
- Backend distribuiti (Cloudflare Workers, Firebase, Amazon, link univoci per ogni campagna).
- Offuscamento e ridondanza per evitare singoli punti di guasto.
Questa campagna ha invece dimostrato che:
- A Provider di hosting nigeriano.
- Domini adiacenti collegati a truffe bancarie, portafogli di criptovalute falsi e truffe relative a false consegne.
- Un account Telegram che riceve dati rubati collegati a un Operatore nigeriano.
Il problema dei media a pagamento
Gli inserimenti pubblicitari a pagamento comportano gravi conseguenze:
- Viene pubblicato un articolo a pagamento su una testata autorevole.
- Centinaia di siti minori, blog e canali Telegram lo riscrivono o lo traducono.
- Nel giro di pochi giorni, si trasforma in una gigantesca storia inventata che dà l'illusione di essere credibile.
Esempio: Angel Drainer
Tutti i principali media hanno pubblicato titoli su "Angel Drainer è stato disattivato dopo che gli sviluppatori ne hanno individuato l'autore." Ma era vero — o solo l’ennesima pubblicità pagata, ripetuta fino a sembrare credibile? Per i criminali, comprare articoli è una sciocchezza; per le vittime, cambia tutto.
Aziende specializzate in sicurezza informatica che si occupano in prima persona delle proprie relazioni pubbliche
Le aziende che operano nel settore della sicurezza informatica pagano decine di migliaia di dollari per articoli che parlano di loro, delle loro ricerche e del loro impatto. Ciò solleva alcune domande fondamentali:
- Perché un vero gruppo di sicurezza informatica deve pagare per la copertura assicurativa?
- Stanno cercando di coprire le tracce del vero hacker?
- Oppure sfruttare l'identità dell'hacker per ricattare qualcuno o ottenere un vantaggio competitivo?
- Lo scopo è rafforzare la fiducia o manipolare la percezione a scopo di lucro?
Dati di mercato
La pratica non è un segreto:
- Su Fiverr, Upwork e sui mercati specializzati nel settore delle pubbliche relazioni è possibile acquistare direttamente dei “post degli ospiti”.
- I fornitori inviano fogli di calcolo di Google con decine di punti vendita e prezzi, tra cui noti marchi del settore della sicurezza informatica.
- C'è chi promette: "A un costo aggiuntivo, nessuna etichetta sponsorizzata".
Tra gli obiettivi dichiarati per l'acquisto di articoli figurano:
- Link building (SEO).
- Traffico e vendite.
- Consapevolezza del marchio.
- Gestione della reputazione (occultamento degli aspetti negativi).
- Verifica sociale.
- Elenchi delle pubblicazioni per le domande di visto.
I costi indicati comprendono oltre $20,000 per ottenere spazi a pagamento dedicati alle interviste sui principali media del settore delle criptovalute.
Affari contro bugie
Pubblicare contenuti a pagamento non è illegale: è un'attività commerciale. Ma quando si supera il limite... pubblicare affermazioni false, sviare le indagini e spacciare le operazioni di pubbliche relazioni per fatti reali, finisce per diventare parte del problema.
Conclusione
PhishDestroy è un'iniziativa indipendente nel campo della sicurezza informatica che non riceve compensi, non vende spazi pubblicitari e non genera profitti. I fatti sono chiari:
- Oltre 150 estensioni Mozilla indirizzate a un unico backend su un hosting nigeriano.
- I dati sono stati inviati a un account Telegram nigeriano.
- La storia della "pista russa" è inventata.
- La copertura mediatica a pagamento ha amplificato questa invenzione fino a farla sembrare vera.
- Persino le stesse aziende specializzate in sicurezza informatica investono nella propria autopromozione.
Dichiarazione di non responsabilità
Non stiamo accusando nessun individuo, azienda o testata giornalistica. Tutti i fatti provengono da fonti aperte e sono verificabili tramite archivi pubblici, scansioni e rapporti. La vera domanda è: Perché queste narrazioni vengono controllate e amplificate? Chi trae vantaggio dal fatto che una società di sicurezza sconosciuta pubblichi un’inchiesta di ampio respiro ma imprecisa, che distoglie l’attenzione dai veri responsabili?



