Pesquisadores de cibersegurança descobriram mais de 40 extensões maliciosas para o Mozilla Firefox projetadas para roubar segredos de carteiras de criptomoedas, colocando em risco os ativos digitais dos usuários.
"Essas extensões se passam por ferramentas legítimas de carteiras amplamente utilizadas em plataformas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox", disse o pesquisador da Koi Security, Yuval Ronen.
A campanha em larga escala teria começado pelo menos em abril de 2025, com novas extensões sendo carregadas na loja de Add-ons do Firefox até a semana passada.
As extensões identificadas foram encontradas inflando artificialmente sua popularidade, adicionando centenas de avaliações de 5 estrelas que vão muito além do número total de instalações ativas.
Essa estratégia é empregada para dar-lhes uma ilusão de autenticidade, fazendo parecer que são amplamente adotadas e enganando usuários incautos a instalá-las.
Outra tática adotada pelo ator de ameaça para reforçar a confiança envolve apresentar esses complementos como ferramentas legítimas de carteira, usando os mesmos nomes e logotipos.
O fato de algumas das extensões reais serem open-source permitiu que os atacantes clonassem seu código-fonte e injetassem sua própria funcionalidade maliciosa para extrair chaves de carteiras e frases-semente de sites alvo e exfiltrá-las para um servidor remoto.
As extensões ilícitas também foram encontradas transmitindo os endereços IP externos das vítimas.
Diferente dos golpes de phishing típicos que dependem de sites ou e-mails falsos, essas extensões operam dentro do navegador do usuário — tornando-as muito mais difíceis de detectar ou bloquear com ferramentas tradicionais de endpoint.
"Esta abordagem de baixo esforço e alto impacto permitiu ao ator manter a experiência do usuário esperada enquanto reduzia as chances de detecção imediata", disse Ronen.
A presença de comentários em russo no código-fonte, bem como metadados obtidos de um arquivo PDF recuperado do servidor de comando e controle (C2) usado para a atividade, aponta para um grupo de atores de ameaça de língua russa.
Todas as extensões identificadas, com exceção da carteira MyMonero, foram retiradas do ar pela Mozilla.
No mês passado, a fabricante do navegador disse que desenvolveu um "sistema de detecção precoce" para detectar e bloquear extensões fraudulentas de carteiras cripto antes que ganhassem popularidade entre os usuários e fossem usadas para roubar os ativos dos usuários, enganando-os a entrar com suas credenciais.
Para mitigar o risco apresentado por tais ameaças, é aconselhado instalar extensões apenas de editores verificados e avaliá-las para garantir que não mudem seu comportamento silenciosamente após a instalação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...