Los investigadores de ciberseguridad han descubierto más de 40 extensiones de navegador maliciosas de Mozilla Firefox, diseñadas para robar secretos de billetera de criptomonedas y poner en riesgo los activos digitales de los usuarios.
«Estas extensiones se hacen pasar por herramientas de billetera legal de plataformas ampliamente utilizadas como Coinbase, Metamask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox».
Se dice que la campaña masiva está en curso desde al menos abril de 2025, y la nueva extensión se sube a la tienda de complementos Firefox como la semana pasada.
Se sabe que las extensiones identificadas inflan artificialmente la popularidad, agregando reseñas de 5 estrellas, mucho más que el número total de instalaciones activas. Esta estrategia ha sido adoptada para darles una ilusión de credibilidad, haciéndolos parecer ampliamente adoptados e instalar usuarios desprevenidos.
Otra táctica adoptada por los actores de amenaza para fortalecer su confianza implica aprobar estos complementos como herramientas de billetera legal utilizando el mismo nombre y logotipo.
El hecho de que algunas de las extensiones reales fueran de código abierto permitieron a los atacantes clonar el código fuente, extraer claves de billetera y frases de semillas de sitios web específicos e inyectar sus propias características maliciosas para extraerlos a servidores remotos. También se ha descubierto que las extensiones fraudulentas envían la dirección IP externa de la víctima.
A diferencia de las estafas de phishing típicas que se basan en sitios web y correos electrónicos falsos, estas extensiones funcionan dentro del navegador del usuario. Es mucho más difícil detectar o bloquear con las herramientas de punto final tradicional.
«Este enfoque de baja eficiencia e impactante permitió a los actores mantener la experiencia esperada del usuario al tiempo que reduce la probabilidad de detección inmediata», dijo Lonen.
La presencia de comentarios rusos en el código fuente y los metadatos recuperados de los archivos PDF recuperados del servidor de comando y control (C2) utilizado para los puntos de actividad al grupo de actores de amenazas de habla rusa.
Todos los complementos identificados, excepto la billetera MyMonero, fueron derrotadas posteriormente por Mozilla. El mes pasado, los fabricantes de navegadores dijeron que desarrollaron un «sistema de detección temprana» para detectar y bloquear las extensiones de billetera criptográfica fraudulenta antes de ganar popularidad entre los usuarios, y que se utilizará para permitir a los usuarios ingresar sus calificaciones y robar los activos de los usuarios.
Para mitigar las poses de riesgo de tales amenazas, le recomendamos que instale extensiones solo de editores verificados y evite cambiar silenciosamente su comportamiento posterior a la instalación.
Source link
