150 extensiones que drenan criptos llegan a la tienda de complementos de Firefox

Iniciado por AXCESS, Agosto 09, 2025, 05:56:05 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 09, 2025, 05:56:05 AM


Una campaña maliciosa denominada "GreedyBear" se ha infiltrado en la tienda de complementos de Mozilla, atacando a usuarios de Firefox con 150 extensiones maliciosas y robando aproximadamente un millón de dólares a víctimas desprevenidas.

La campaña, descubierta y documentada por Koi Security, suplanta extensiones de monederos de criptomonedas de plataformas conocidas como MetaMask, TronLink y Rabby.

Inicialmente, estas extensiones se cargan de forma inocua para que Firefox las acepte y acumulan reseñas positivas falsas.

Posteriormente, los desarrolladores eliminan la marca original y la reemplazan con nuevos nombres y logotipos, a la vez que inyectan código malicioso para robar las credenciales de los monederos y las direcciones IP de los usuarios.

Complemento antes de que se vuelva malicioso


El código malicioso actúa como un keylogger, capturando la información de los campos de formulario o de las ventanas emergentes, que luego se envían al servidor del atacante.

"Las extensiones maliciosas capturan las credenciales de la billetera directamente de los campos de entrada del usuario dentro de la interfaz emergente de la extensión y las exfiltran a un servidor remoto controlado por el grupo", explica Tuval Admoni de Koi Security.

"Durante la inicialización, también transmiten la dirección IP externa de la víctima, probablemente con fines de rastreo o ataque".

La operación de robo de criptomonedas se complementa con docenas de sitios web de software pirata en ruso que facilitan la distribución de 500 ejecutables de malware distintos, además de una red de sitios web que se hacen pasar por Trezor, Jupiter Wallet y servicios de reparación de billeteras falsas.

En el caso del malware, las cargas útiles incluyen troyanos genéricos, ladrones de información (LummaStealer) o incluso ransomware.

Todos estos sitios están vinculados a la misma dirección IP, 185.208.156.66, que sirve como centro de comando y control (C2) para la operación GreedyBear.

Sitio web falso de Jupiter Wallet


Koi Security informó de sus hallazgos a Mozilla, y las extensiones infractoras se eliminaron de la tienda de complementos de Firefox.

Sin embargo, su gran escala y aparente facilidad de ejecución demuestran cómo la IA puede ayudar a los ciberdelincuentes a crear esquemas a gran escala y recuperarse rápidamente de los desmantelamientos totales.

"Nuestro análisis del código de la campaña muestra claros indicios de artefactos generados por IA", explica el informe.

"Esto facilita y agiliza más que nunca que los atacantes escalen sus operaciones, diversifiquen sus cargas útiles y evadan la detección".

El anterior ataque a gran escala a la tienda de Firefox tuvo lugar el mes pasado, e involucró más de 40 extensiones falsas que simulaban ser monederos de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero.

Es destacable que estas extensiones fraudulentas sigan filtrándose en la tienda de Firefox a pesar de que Mozilla implementó un sistema en junio de 2025 para detectar complementos que drenan criptomonedas.

Koi Security también informa haber visto indicios de que los operadores de GreedyBear están explorando la expansión a la Chrome Web Store, ya que ya detectaron una extensión maliciosa de Chrome llamada "Filecoin Wallet" que utiliza la misma lógica de robo de datos y se comunica con la misma dirección IP.

Para minimizar el riesgo de estas amenazas, lea siempre las reseñas de varios usuarios y verifique los detalles de la extensión y del editor antes de instalar complementos en su navegador.

Puede encontrar las extensiones oficiales de la billetera en los sitios web de los propios proyectos, ya sea alojadas directamente o enlazando al complemento legítimo en tiendas en línea.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario