- Més de 40 extensions falses a Firefox suplanten bitlleteres de criptomonedes populars per robar dades dels usuaris.
- La campanya utilitza identitats visuals i ressenyes falses per aconseguir que semblin aplicacions legítimes.
- L'atac continua actiu i es pot vincular provisionalment a un grup de parla russa, segons analistes.
- Recomanacions clau: instal·lar només extensions verificades i supervisar qualsevol comportament anòmal.
En les últimes setmanes, ha sortit a la llum una campanya de ciberatacs que afecta directament usuaris de criptomonedes que confien al navegador Firefox. L'atac es caracteritza pel desplegament d'extensions malicioses que, camuflades com a bitlleteres digitals fiables, busquen capturar les credencials d'accés dels internautes i buidar-ne els fons sense que ho percebin.
Firmes especialitzades en ciberseguretat com Koi Security han deixat anar la veu d'alarma després de detectar més de 40 extensions fraudulentes distribuïdes a la botiga oficial de Firefox. Totes elles imitaven l'aparença i el nom d'aplicacions de criptomonedes reconegudes, com Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX i MyMonero, entre altres, aconseguint així enganyar usuaris desprevinguts mitjançant logotips idèntics i valoracions de cinc estrelles generades artificialment.
Com operen les extensions malicioses al Firefox
El modus operandi d'aquesta campanya és especialment perillós pel seu capacitat d'emular l'experiència d'usuari legítima. Els ciberdelinqüents han aprofitat codi font obert de les bitlleteres autèntiques, clonant-ne l'estructura i afegint fragments de codi dissenyats per recopilar informació confidencial com ara frases llavor i claus privades.
Un cop instal·lada l'extensió, a l'usuari resulta pràcticament impossible distingir una versió genuïna d'una alterada. La informació robada és enviada directament a servidors remots sota control dels atacants, que poden buidar les bitlleteres ràpidament.
La campanya activa des d'abril i encara en curs segons els investigadors, no només utilitza identitats visuals i noms calcats als originals, sinó que infla artificialment les ressenyes positives per generar confiança i així ampliar-ne el nombre de víctimes.
Indicis que apunten a un grup de parla russa
La tasca de rastreig realitzada per Koi Security ha detectat diversos elements en rus incrustats als fitxers de les extensions i documents interns trobats als servidors utilitzats per al robatori de dades. Tot i que l'atribució no és definitiva, múltiples pistes suggereixen que l?atac prové d?un grup o actor d?amenaça vinculat a Rússia.
Analitzant metadades en arxius recuperats, juntament amb comentaris en rus al codi de les aplicacions fraudulentes, els experts sostenen que l'operació podria estar coordinada més enllà de simples estafadors aficionats, cosa que incrementa la sofisticació i perillositat de l'incident.
Riscos per als usuaris: per què han funcionat aquestes extensions
El gran èxit de la campanya resideix al ús d'estratègies de manipulació de la confiança: no només repliquen noms i logotips, sinó que aprofiten les opcions de ressenyes i valoracions de la botiga de Firefox per legitimar els seus productes falsos. Com que la majoria de les bitlleteres afectades de codi obert, els atacants han tingut fàcil accés per clonar les funcions visibles i afegir el codi nociu sense aixecar sospites immediates.
Aquest enfocament ha permès que molts internautes, confiats per l'aparença i les valoracions, instal·lin aquests complements sense dubtar-ho, cosa que ha facilitat l'exfiltració massiva de dades sensibles.
Recomanacions per minimitzar l'impacte d'extensions malicioses
Davant la magnitud i persistència de l'atac, els especialistes aconsellen extremar les precaucions en instal·lar extensions, optant únicament per les publicades per desenvolupadors verificats i revisant periòdicament les aplicacions instal·lades al navegador.
Alguns consells essencials són:
- Verificar sempre la identitat i la reputació del desenvolupador abans d'instal·lar qualsevol extensió.
- Sospitar de valoracions excessivament positives o repetitives que puguin haver estat manipulades.
- Estar atents a sol·licituds de permisos inusuals o canvis inesperats en el comportament de lextensió.
- Eliminar immediatament qualsevol extensió sospitosa o que no hagi estat instal·lada pel propi usuari.
Des de Koi Security també es recomana tractar les extensions amb la mateixa cautela que qualsevol altre programa, utilitzant llistes blanques i monitoritzant exhaustivament qualsevol comportament estrany, a més d'instal·lar actualitzacions únicament des de fonts oficials.
Aquest incident posa de manifest la importància d'aplicar bones pràctiques de ciberseguretat a l'entorn de les criptomonedes ia la gestió de les eines digitals. La vigilància, la protecció activa i l'actualització constant són fonamentals per evitar ser víctima d'aquests atacs.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.