Los investigadores de ciberseguridad han descubierto más de 40 extensiones de navegador maliciosas para Mozilla Firefox que están diseñados para robar secretos de billeteras de criptomonedas, poniendo en aventura los activos digitales de los usuarios.
“Estas extensiones se hacen ocurrir por herramientas de billetera legítimas de plataformas ampliamente utilizadas como Coinbase, Metamask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox”, dijo el investigador de seguridad de Koi, Yuval Ronen.
Se dice que la campaña a gran escalera está en curso desde al menos abril de 2025, con nuevas extensiones cargadas en la tienda de complementos de Firefox tan recientemente como la semana pasada.
Se ha enemigo que las extensiones identificadas inflan artificialmente su popularidad, agregando cientos de revisiones de 5 estrellas que van mucho más allá del número total de instalaciones activas. Esta organización se emplea para darles una ilusión de autenticidad, lo que parece que son ampliamente adoptadas y engañan a los usuarios desprevenidos para que los insten.
Otra táctica adoptada por el actor de amenaza para reanimar la confianza implica ocurrir estos complementos como herramientas de billetera legítimas, utilizando los mismos nombres y logotipos.
El hecho de que algunas de las extensiones reales fueran de código libre permitieron a los atacantes clonar su código fuente e inyectar su propia funcionalidad maliciosa para extraer claves de billetera y frases de semillas de sitios web específicos y exfiltrarse a un servidor remoto. Todavía se ha enemigo que las extensiones deshonestas transmiten las direcciones IP externas de las víctimas.
A diferencia de las estafas de phishing típicas que se basan en sitios web o correos electrónicos falsos, estas extensiones operan adentro del navegador del agraciado, lo que las hace mucho más difíciles de detectar o cerrar las herramientas tradicionales de punto final.
“Este enfoque de bajo esfuerzo y stop impacto permitió al actor suministrar la experiencia esperada del agraciado al tiempo que reduce las posibilidades de detección inmediata”, dijo Ronen.
La presencia de comentarios del idioma ruso en el código fuente, así como los metadatos obtenidos de un archivo PDF recuperado del servidor de comando y control (C2) utilizado para la actividad apunta a un categoría de actores de amenaza de acento rusa.
Todos los complementos identificados con la excepción de MyMonero Wallet han sido retirados por Mozilla. El mes pasado, el fabricante de navegadores dijo que ha desarrollado un “sistema de detección temprana” para detectar y cerrar las extensiones de billetera criptográfica de estafa ayer de aventajar popularidad entre los usuarios y que se usan para robar los activos de los usuarios engañándolos para que ingresen a sus credenciales.
Para mitigar el aventura planteado por tales amenazas, se recomienda instalar extensiones solo de editores verificados y examinarlos para comprobar de que no cambien silenciosamente su comportamiento luego de la instalación.
