150 extensiones maliciosas de Firefox robaron un millón de dólares en criptomonedas

Redazione RHC : 10 agosto 2025 10:19

Los analistas de Koi Security han descubierto la campaña de malware GreedyBear, activa en la tienda de complementos de Mozilla. 150 extensiones maliciosas de Firefox robaron criptomonedas por valor de más de un millón de dólares a los usuarios. Los complementos fraudulentos se hacían pasar por extensiones de monederos de criptomonedas populares de plataformas reconocidas, como MetaMask, TronLink, Exodus y Rabby Wallet. Inicialmente, se subieron a la tienda sin código malicioso para pasar las comprobaciones y se dejaron inactivos durante un tiempo, acumulando reseñas positivas falsas.

La extensión aún no se ha convertido Malicioso.

En una etapa posterior del ataque, los desarrolladores de la extensión eliminaron la marca original y la reemplazaron con nuevos nombres y logotipos, además de incorporar malware en el código diseñado para robar los datos de la billetera y las direcciones IP de los usuarios (probablemente con fines de rastreo o segmentación).El código malicioso actuaba como un keylogger, interceptando los datos ingresados en campos de formulario y ventanas emergentes y enviándolos al servidor de los atacantes.

Los especialistas de Koi Security informaron a los desarrolladores de Mozilla sobre sus hallazgos, y las extensiones maliciosas fueron eliminadas de la tienda de complementos de Firefox. Sin embargo, además de las extensiones de Firefox, la operación también involucra a decenas de sitios web de software pirateado que distribuyen 500 ejecutables de malware diferentes, así como a una red de sitios que se hacen pasar por recursos oficiales de Trezor y Jupiter Wallet, así como por servicios falsos de reparación de billeteras de hardware, según informan los investigadores.

Sitio web falso de Jupiter Wallet

Todos estos sitios están conectados a una única dirección IP (185.208.156[.]66), que sirve como servidor de control para GreedyBear. En estos casos, se pueden utilizar diversos troyanos, robadores de información (como Lumma) o incluso ransomware como cargas útiles maliciosas. El informe también afirma que el análisis de la campaña reveló artefactos claros que indican que los atacantes utilizaban inteligencia artificial.

«Esto permite a los atacantes escalar sus operaciones, diversificar sus cargas útiles y evadir la detección con mayor rapidez y facilidad que nunca», escriben los expertos. La compañía también advirtió que los operadores de GreedyBear están considerando claramente distribuir el malware también a través de Chrome Web Store. Los investigadores encontraron una extensión maliciosa de Chrome llamada Filecoin Wallet que utilizaba la misma lógica de robo de datos y estaba vinculada a la dirección IP mencionada.

Es importante destacar que, en junio de 2025, los desarrolladores de Mozilla introdujeron un nuevo sistema para la detección temprana de complementos relacionados con el fraude de criptomonedas. El sistema crea perfiles de riesgo para cada extensión de monedero en la tienda y advierte automáticamente de los riesgos cuando se alcanza un umbral específico.

Estas advertencias deberían animar a quienes revisan complementos a examinar con más detenimiento las extensiones específicas para eliminar el malware de la tienda antes de que se utilice para vaciar los monederos de los usuarios.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli