Atención, seguidores de Firefox.
Seha descubierto una gran cantidad de complementos y programas fraudulentos diseñados para robar criptomonedas.
Expertos han alertado sobre una campaña significativa enfocada en robar criptomonedas de los usuarios de Firefox. Investigadores de seguridad de Koi Security han identificado 150 extensiones en la tienda de Mozilla que operan como infostealers y keyloggers. Inicialmente, estas extensiones eran herramientas inocuas que imitaban billeteras populares como MetaMask, TronLink o Rabby. Sin embargo, después de obtener suficientes descargas y comentarios positivos, los atacantes las transforman, cambiando nombres y logotipos para inyectar códigos maliciosos que roban las credenciales de las billeteras y las direcciones IP de los usuarios.
Según Koi Security, estas extensiones, apodadas “GreedyBear”, capturan directamente las credenciales de las billeteras desde los campos de entrada del interfaz emergente y las envían a un servidor remoto controlado por los delincuentes. Además, durante la inicialización, también transmiten la dirección IP externa de la víctima, lo que sugiere que esta información podría ser utilizada para seguimiento o ataques dirigidos. Se ha informado que el código malicioso fue en parte generado con ayuda de inteligencia artificial y que hasta el momento ha recaudado más de un millón de dólares.
El término “bear” en el nombre podría ser una referencia a Rusia, ya que la operación está complementada por numerosos sitios de software pirata que diseminan 500 variantes de malware, además de ofrecer versiones fraudulentas de Trezor, Jupiter Wallet y otros sitios relacionados con criptomonedas, todos ellos en ruso. Koi Security destacó que este malware es genérico, aunque LummaStealer se distingue como un nombre notable entre los identificados.
Todas las páginas están vinculadas a una misma dirección IP, lo que indica que una única entidad está dirigiendo toda la operación. Tras conocer esta situación, Koi Security reportó los hallazgos a Mozilla, que actuó rápidamente eliminando todas las extensiones maliciosas de su repositorio. Sin embargo, los usuarios que ya las habían descargado continúan en riesgo hasta que eliminen las extensiones de sus navegadores y cambien todas sus credenciales de acceso.
