Underc0de - La Casa de los Informáticos

Una nueva campaña de malware masiva denominada "GreedyBear" ha comprometido la seguridad de miles de usuarios de Firefox al introducir más de 150 extensiones maliciosas en la tienda oficial de complementos de Mozilla. Esta operación, detectada por Koi Security, ha logrado robar más de $1,000,000 USD en criptomonedas al hacerse pasar por extensiones legítimas de billeteras digitales como MetaMask, TronLink y Rabby.

Este sofisticado esquema de ingeniería social aprovecha el entorno de confianza de Firefox y sus extensiones para infiltrarse de forma sigilosa en los dispositivos de los usuarios, con el objetivo de robar credenciales de acceso a criptomonedas, direcciones IP y otros datos sensibles.

Cómo funciona la campaña maliciosa GreedyBear

La operación GreedyBear sigue un patrón cuidadosamente planeado. En la fase inicial, los atacantes suben extensiones que aparentan ser complementos benignos y funcionales, logrando así superar los filtros automáticos de la tienda de Firefox. Estas extensiones fraudulentas simulan pertenecer a marcas de confianza dentro del ecosistema cripto, como MetaMask y TronLink, y acumulan rápidamente reseñas falsas positivas para generar una percepción de legitimidad.

Una vez aprobadas y descargadas por los usuarios, los operadores de GreedyBear actualizan las extensiones, reemplazando nombres, logotipos y descripciones, e inyectan código malicioso que permite registrar las entradas del teclado (keylogging) y capturar credenciales directamente desde la interfaz emergente de la extensión.

El investigador Tuval Admoni de Koi Security explica:

Citar"Las extensiones armadas capturan las credenciales de la billetera directamente de los campos de entrada del usuario dentro de la propia interfaz emergente de la extensión y las filtran a un servidor remoto controlado por el grupo. Durante la inicialización, también transmiten la dirección IP externa de la víctima, probablemente con fines de seguimiento o focalización geográfica".

Infraestructura de GreedyBear: distribución masiva de malware

Además de las extensiones maliciosas en Firefox, GreedyBear opera una infraestructura extensa de sitios web falsos y dominios de distribución de malware. Entre ellos se encuentran:

• Sitios de software pirateado en idioma ruso que distribuyen más de 500 ejecutables maliciosos.
• Páginas falsas que se hacen pasar por servicios de billetera cripto como Trezor, Jupiter Wallet y supuestas plataformas de reparación de wallets.
• Distribución de troyanos genéricos, ransomware e info-stealers como LummaStealer.

Todos estos recursos están vinculados a una única dirección IP: 185.208.156.66, que actúa como centro de comando y control (C2) para coordinar las actividades de robo de datos y drenaje de fondos.

Implicaciones del uso de inteligencia artificial en campañas de malware

Una de las características más preocupantes de GreedyBear es el uso de inteligencia artificial (IA) para crear extensiones, código malicioso y documentación falsa. El informe de Koi Security revela que:

Citar"Nuestro análisis del código de la campaña muestra signos claros de artefactos generados por IA. Esto hace que sea más rápido y fácil que nunca para los atacantes escalar las operaciones, diversificar las cargas útiles y evadir la detección".

Esta automatización permite a los ciberdelincuentes recuperar rápidamente sus campañas, incluso después de que Mozilla elimine las extensiones maliciosas de su tienda. La capacidad de regenerar versiones alteradas del mismo malware representa un desafío creciente para los sistemas de detección tradicionales.

Mozilla y Google en alerta: ¿viene una expansión a Chrome?

Pese a que Mozilla eliminó las 150 extensiones ofensivas tras recibir la denuncia de Koi Security, preocupa que el sistema automatizado de detección de extensiones de drenaje de criptomonedas, implementado en junio de 2025, no haya sido capaz de detener la propagación de GreedyBear en sus primeras fases.

Además, Koi Security advierte que el grupo responsable de GreedyBear ya explora nuevas plataformas como la Chrome Web Store. Se ha identificado una extensión maliciosa de Chrome llamada "Filecoin Wallet", que opera bajo la misma lógica de robo de credenciales y se comunica con la misma IP de comando y control, lo que sugiere una clara intención de expansión multiplataforma.

Campañas previas y creciente amenaza

Esta no es la primera vez que Mozilla enfrenta un incidente de este tipo. En el mes anterior, se descubrieron más de 40 extensiones falsas que imitaban billeteras como Coinbase, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero. Estos incidentes revelan fallas persistentes en los sistemas de moderación de extensiones de navegadores populares, que los actores maliciosos están sabiendo explotar eficazmente.

Cómo protegerse de extensiones maliciosas en Firefox y Chrome

Para minimizar el riesgo de instalar extensiones maliciosas que puedan comprometer tus activos digitales, sigue estas recomendaciones clave:

• Revisa siempre las opiniones de los usuarios reales, no solo la calificación promedio.
• Verifica el nombre del editor y el sitio web oficial antes de descargar extensiones.
• Instala extensiones de billeteras exclusivamente desde los sitios web oficiales de proyectos como MetaMask, Trust Wallet o Rabby.
• Evita descargar software desde sitios de dudosa procedencia, especialmente versiones pirateadas.
• Utiliza soluciones antivirus y antimalware actualizadas con monitoreo en tiempo real de extensiones y tráfico de red.

En fin, la campaña maliciosa GreedyBear representa una amenaza significativa para la seguridad de los usuarios de Firefox y potencialmente de otros navegadores como Chrome. El uso de técnicas de ingeniería social, distribución masiva de malware, inteligencia artificial y su capacidad para evadir sistemas de detección convierten a esta operación en un caso emblemático del cibercrimen moderno.

Fuente: https://www.bleepingcomputer.com/