Más de 40 extensiones falsas para el popular navegador web Mozilla Firefox han sido vinculadas a una campaña de malware en curso para robar criptomonedas, según un informe publicado el miércoles por la firma de ciberseguridad Koi Security.
La operación de phishing a gran escala, según informes, despliega extensiones que imitan herramientas de monedero como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero, Bitget y otros. Una vez instaladas, las extensiones maliciosas están diseñadas para robar las credenciales del monedero de los usuarios.
«Hasta ahora, pudimos vincular más de 40 extensiones diferentes a esta campaña, que aún está en curso y muy activa», dijo la empresa.
Koi Security dijo que la campaña ha estado activa al menos desde abril, y las extensiones más recientes se subieron la semana pasada. Según informes, las extensiones extraen las credenciales del monedero directamente de los sitios web objetivo y las suben a un servidor remoto controlado por el atacante.
El malware explota la confianza a través del diseño
Según el informe, la campaña aprovecha las valoraciones, reseñas, la marca y la funcionalidad para ganar la confianza del usuario al parecer legítima. Una de las aplicaciones tenía cientos de reseñas falsas de cinco estrellas.
Las extensiones falsas también presentaban nombres y logotipos idénticos a los servicios reales que imitaban. En múltiples casos, los actores de la amenaza también aprovecharon el código fuente abierto de las extensiones oficiales al clonar sus aplicaciones, pero con código malicioso añadido:
«Este enfoque de bajo esfuerzo y alto impacto permitió al actor mantener la experiencia de usuario esperada mientras reducía las posibilidades de detección inmediata.»
Se sospecha de un actor de amenaza de habla rusa
Koi Security dijo que «la atribución sigue siendo provisional», pero sugirió que «múltiples señales apuntan a un actor de amenaza de habla rusa». Esas señales incluyen comentarios en ruso en el código y metadatos encontrados en un archivo PDF recuperado de un servidor de comando y control de malware involucrado en el incidente:
«Aunque no son concluyentes, estos artefactos sugieren que la campaña podría originarse de un grupo de actores de amenaza de habla rusa.»
Para mitigar el riesgo, Koi Security instó a los usuarios a instalar extensiones de navegador solo de editores verificados. La firma también recomendó tratar las extensiones como activos de software completos, utilizando allowlists y monitoreando comportamientos o actualizaciones inesperadas.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
Link del artículo original
Si el presente artículo, video o foto intrigue cualquier derecho de autor por favor señálelo al correo del autor o en la caja de comentarios.