criptotendencia.com
Según un informe publicado el miércoles por Yuval Ronen, investigador de la firma de ciberseguridad «Koi Security», más de 40 extensiones falsas para el popular navegador web «Mozilla Firefox» han sido vinculadas a una campaña de malware en curso destinada a robar criptomonedas.
La operación de phishing a gran escala, según los reportes, despliega extensiones que imitan herramientas de wallets de criptomonedas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget y otras. Una vez instaladas, las extensiones maliciosas están diseñadas para robar las credenciales de las wallets de los usuarios.
«Una vez instaladas, las extensiones maliciosas extraen silenciosamente la información confidencial de los monederos, poniendo en riesgo inmediato los activos de los usuarios», indicó el informe de Koi Security. «Hasta el momento, hemos podido vincular más de 40 extensiones diferentes a esta campaña, que sigue activa y con gran actividad; algunas aún están disponibles en el mercado», agregó.
Además, Koi Security señaló que la campaña ha estado activa al menos desde abril, y que las extensiones más recientes se subieron la semana pasada.
Cabe destacar que las extensiones extraen las credenciales directamente desde los sitios web objetivos, utilizando nombres y logotipos idénticos a los de los servicios reales, y transfieren los datos robados a un servidor remoto controlado por los atacantes.
Asimismo, muchas de estas extensiones falsas de Firefox contaban con cientos de reseñas de cinco estrellas, muy superiores a la cantidad real de instalaciones, generando una falsa percepción de seguridad y legitimidad.
Es importante subrayar que, a diferencia de las estafas de phishing tradicionales basadas en correos electrónicos o sitios falsos, estas extensiones operan dentro del navegador web, lo que las hace mucho más difíciles de detectar por herramientas de seguridad convencionales.
- El FMI rechaza propuesta de minería Bitcoin de Pakistán
Un grupo vinculado a Rusia podría estar detrás de las extensiones maliciosas en Firefox
Tras la publicación del informe, Mozilla eliminó todas las extensiones identificadas, salvo la versión fraudulenta de la wallet «MyMonero», que aún permanecía activa al momento de la investigación.
«En varios casos, los responsables de la campaña aprovecharon que las extensiones oficiales eran de código abierto. Esto permitió crear versiones que se comportaban como se esperaba mientras robaban en secreto datos confidenciales», explicó Yuval Ronen.
Cabe mencionar que el mes pasado, Mozilla anunció la implementación de un sistema de detección temprana para identificar y bloquear extensiones sospechosas de wallets antes de que alcancen popularidad y representen un riesgo para los usuarios.
Además, en enero, el exchange «OKX» alertó a sus usuarios sobre la existencia de extensiones falsas de OKX Wallet para Firefox, aclarando que la plataforma no había lanzado ningún complemento para dicho navegador.
Por otro lado, el informe de Koi Security señaló que el origen de la campaña sigue bajo investigación, aunque múltiples indicios apuntan a un grupo de habla rusa. Entre las señales se incluyen comentarios en ruso dentro del código y metadatos hallados en un archivo PDF recuperado de un servidor de comando y control vinculado al malware.
«Aunque no son concluyentes, estos artefactos en nuestra investigación sugieren que la campaña podría originarse en un grupo de amenaza de habla rusa», advirtió el informe.
Para mitigar el riesgo, Koi Security recomendó instalar únicamente extensiones de editores verificados. Además, sugirió tratar las extensiones como activos de software completos, utilizando listas de permitidos (allowlists) y monitoreando cualquier comportamiento o actualización inesperada.