Uma campanha maliciosa conhecida como 'GreedyBear' invadiu a loja de complementos da Mozilla, visando usuários do Firefox com 150 extensões maliciosas e roubando uma estimativa de $1,000,000 de vítimas desavisadas.
A campanha, descoberta e documentada pela Koi Security, se passa por extensões de carteiras de criptomoedas de plataformas bem conhecidas como MetaMask, TronLink e Rabby.
Essas extensões são inicialmente carregadas de forma benigna, para serem aceitas pelo Firefox, e acumulam avaliações positivas falsas.
Em uma fase posterior, os publicadores removem a marca original e substituem por novos nomes e logos, enquanto também injetam código malicioso para roubar credenciais das carteiras dos usuários e endereços IP.
O código malicioso atua como um keylogger, capturando entradas de campos de formulário ou dentro de popups exibidos, que são então enviados ao servidor do atacante.
"As extensões armadas capturam credenciais das carteiras diretamente dos campos de entrada do usuário dentro da própria interface popup da extensão e as exfiltram para um servidor remoto controlado pelo grupo," explica Tuval Admoni, da Koi Security.
Durante a inicialização, eles também transmitem o endereço IP externo da vítima, provavelmente para fins de rastreamento ou segmentação.
A operação de drenagem de criptomoedas é complementada por dezenas de sites russos de software pirata que facilitam a distribuição de 500 executáveis de malware distintos, além de uma rede de sites que se passam por Trezor, Jupiter Wallet e serviços falsos de reparo de carteiras.
Nos casos de malware, os payloads incluem trojans genéricos, ladrões de informações (LummaStealer) ou até ransomware.
Todos esses sites estão ligados ao mesmo endereço IP, 185.208.156.66, que serve como um hub de comando e controle (C2) para a operação GreedyBear.
A Koi Security reportou suas descobertas para a Mozilla, e as extensões ofensivas foram removidas da loja de complementos do Firefox.
No entanto, sua ampla escala e a aparente facilidade de execução são uma demonstração de como a IA pode ajudar os cibercriminosos a criar esquemas em larga escala e se recuperar rapidamente de desativações totais.
"Nossa análise do código da campanha mostra sinais claros de artefatos gerados por IA," explica o relatório.
"Isso torna mais rápido e fácil do que nunca para os atacantes escalar operações, diversificar payloads e evitar detecção."
O ataque em larga escala anterior na loja do Firefox ocorreu no mês passado, envolvendo mais de 40 extensões falsas se passando por carteiras da Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr e MyMonero.
É notável que essas extensões fraudulentas ainda encontrem caminho na loja do Firefox, apesar da Mozilla ter implementado um sistema em junho de 2025 para detectar add-ons drenadores de cripto.
A Koi Security também relata sinais de que os operadores do GreedyBear estão explorando expansão para o Chrome Web Store, pois já identificaram uma extensão maliciosa do Chrome chamada "Filecoin Wallet" que usa a mesma lógica de roubo de dados e se comunica com o mesmo endereço IP.
Para minimizar o risco dessas ameaças, leia sempre várias avaliações de usuários e verifique os detalhes da extensão e do publicador antes de instalar add-ons no seu navegador.
Você pode encontrar as extensões oficiais das carteiras nos websites dos próprios projetos, hospedados diretamente ou linkando para o add-on legítimo nas lojas online.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...