Los actores de amenaza emplearon aproximadamente 150 extensiones maliciosas de Firefox para robar credenciales de billetera de criptomonedas, lo que resultó en un millón de dólares robados a las víctimas. Este esquema, identificado como «Greedybear» por Koi Security, operado por suplantando extensiones de billetera de criptomonedas legítimas dentro de la tienda de complementos de Firefox.
Las extensiones maliciosas inicialmente aparecieron como herramientas de billetera de criptomonedas benignas. Los atacantes cargaron estas extensiones con marca consistente con plataformas establecidas, incluidas Metamask, Tronlink y Rabby. Estas versiones iniciales también acumularon revisiones positivas fabricadas para mejorar su legitimidad percibida. Posteriormente, los atacantes modificaron estas extensiones alterando los nombres y logotipos, luego inyectaron código malicioso. Esta transformación convirtió las extensiones en keyloggers.
Las extensiones comprometidas fueron diseñadas para capturar las entradas de campo de formulario ingresadas por los usuarios. Además, estas extensiones maliciosas registraron las direcciones IP externas de las víctimas. La información recopilada por estos Keyloggers se transmitió posteriormente a los servidores controlados por los atacantes. Desde entonces, Mozilla ha eliminado el malware identificado de la tienda de complementos Firefox, según lo informado por Bleeping Computer.
Los investigadores también han identificado una posible expansión de la campaña Greedybear en la tienda web de Chrome. Esta posible expansión está vinculada a una extensión llamada billetera Filecoin. Se recomienda a los usuarios que tengan precaución antes de instalar extensiones del navegador. Las precauciones recomendadas incluyen revisar los comentarios de los usuarios más allá de las calificaciones de las estrellas, examinar el historial de versiones de la extensión e investigar otros proyectos asociados con el desarrollador para cualquier actividad sospechosa.
Para las extensiones de billetera de criptomonedas específicamente, un método más seguro que buscar directamente dentro de las tiendas complementarias de los navegadores implica navegar al sitio web oficial del proyecto de criptomonedas. Las extensiones legítimas generalmente están vinculadas directamente desde estos sitios web oficiales de proyectos, proporcionando una fuente verificada para la instalación.
