Por Luke Edwards
3 min lectura
Una campaña de malware está aprovechando extensiones maliciosas de Firefox que se hacen pasar por billeteras de criptomonedas legítimas en un intento de robar fondos de usuarios desprevenidos, según un nuevo estudio.
Koi Security descubrió que más de 40 extensiones maliciosas estaban haciéndose pasar por billeteras de criptomonedas reales como parte de la campaña "FoxyWallet", incluyendo Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero.
La campaña de malware utiliza código malicioso para extraer secretos de billeteras a servidores controlados por atacantes. El código verifica cadenas de entrada que son más largas de 30 caracteres para filtrar claves de billetera/frases semilla realistas, antes de enviar los datos a los atacantes. La dirección IP externa de la víctima también se transmite al atacante, lo que permite el rastreo o un mayor objetivo.
Koi Security explicó que los creadores de FoxyWallet "aprovecharon el hecho de que las extensiones oficiales son de código abierto", agregando que, "Clonaron las bases de código reales e insertaron su propia lógica maliciosa, creando extensiones que se comportaban como se esperaba mientras robaban secretamente datos sensibles".
Una exploración más detallada de estas extensiones maliciosas sugiere la presencia de un actor de amenazas de habla rusa, con comentarios en ruso encontrados en su código, así como en metadatos encontrados en un archivo PDF descubierto en el servidor de comando y control.
Según Koi Security, la campaña parece haber estado activa desde al menos abril, con nuevas extensiones maliciosas agregadas la semana pasada. Algunas extensiones falsas todavía estaban disponibles en la tienda de complementos de Firefox hasta ayer, a pesar de que la empresa había informado sus hallazgos a Firefox utilizando su herramienta oficial de informes.
Los creadores de Firefox, Mozilla, publicaron una declaración el jueves diciendo que la empresa está "al tanto de intentos de explotar el ecosistema de complementos de Firefox utilizando extensiones maliciosas que roban criptomonedas", agregando que "A través de una mejora en las herramientas y procesos, hemos tomado medidas para identificar y eliminar rápidamente dichos complementos".
La empresa añadió que muchas de las extensiones maliciosas señaladas en el informe de Koi Security habían sido eliminadas por su equipo antes de la publicación, y que están "en proceso de revisar los pocos complementos restantes que identificaron como parte de nuestro compromiso continuo de proteger a los usuarios".
Mozilla señaló una reciente publicación de blog informando sobre sus esfuerzos para abordar la amenaza de las extensiones que roban criptomonedas, en la que el Gerente de Operaciones de Complementos, Andreas Wagner, señaló que la empresa había descubierto "cientos" de billeteras de criptomonedas fraudulentas en los últimos años. "Es un juego constante del gato y el ratón", dijo Wagner, ya que los desarrolladores de malware intentan "sortear nuestros métodos de detección".
Decrypt se ha comunicado con Mozilla y actualizará este artículo en caso de que respondan.
Para evitar ser víctima de FoxyWallet u estafas similares, se sugiere que los usuarios solo descarguen e instalen extensiones de editores verificados, traten las extensiones como activos de software completos, utilicen una lista de permitidos de extensiones para restringir la instalación solo a extensiones preaprobadas y validadas, e implementen un monitoreo continuo, no solo un escaneo único.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.