- Mais de 40 extensões falsas do Firefox estão se passando por carteiras de criptomoedas populares para roubar dados do usuário.
- A campanha usa identidades visuais e avaliações falsas para fazer os aplicativos parecerem legítimos.
- O ataque ainda está em andamento e pode estar ligado a um grupo de língua russa, dizem analistas.
- Recomendações principais: Instale apenas extensões verificadas e monitore qualquer comportamento anormal.
Nas últimas semanas, veio à tona uma campanha de ciberataque que afeta diretamente Usuários de criptomoedas que dependem do navegador FirefoxO ataque é caracterizado pela implantação de extensões maliciosas que, disfarçadas de carteiras digitais confiáveis, buscam capturar as credenciais de login dos internautas e drenar seus fundos sem que eles saibam.
Empresas especializadas em segurança cibernética, como a Koi Security, deram o alarme após detectar mais de 40 extensões fraudulentas distribuído na loja oficial do Firefox. Todos eles imitavam a aparência e o nome de aplicativos de criptomoeda conhecidos, como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX e MyMonero, entre outros, conseguindo assim enganar usuários desavisados através logotipos idênticos e avaliações cinco estrelas geradas artificialmente.
Como as extensões maliciosas funcionam no Firefox
O modus operandi desta campanha é especialmente perigoso devido à sua capacidade de emular a experiência legítima do usuárioOs cibercriminosos exploraram o código-fonte aberto de carteiras legítimas, clonando sua estrutura e adicionando trechos de código projetados para coletar informações confidenciais, como frases-semente e chaves privadas.
Depois que a extensão é instalada, é praticamente impossível para o usuário distinguir uma versão genuína de uma modificada. As informações roubadas são enviadas diretamente para servidores remotos sob o controle de invasores, que podem então esvaziar as carteiras rapidamente.
A campanha, ativa desde abril e ainda em andamento, segundo pesquisadores, não só utiliza identidades visuais e nomes copiados dos originais, mas infla artificialmente avaliações positivas para gerar confiança e assim aumentar o número de vítimas.
Indícios apontam para um grupo de língua russa
O trabalho de rastreamento realizado pela Koi Security detectou vários elementos russos incorporados nos arquivos das extensões e documentos internos encontrados nos servidores usados para o roubo de dados. Embora a atribuição não seja definitiva, Várias pistas sugerem que o ataque veio de um grupo ou agente de ameaça ligado à Rússia..
Analisando metadados em arquivos recuperados, juntamente com comentários russos no código dos aplicativos fraudulentos, Especialistas afirmam que a operação pode ser coordenada por pessoas que vão além de simples golpistas amadores., o que aumenta a sofisticação e o perigo do incidente.
Riscos para os usuários: por que essas extensões funcionaram
O grande sucesso da campanha reside na uso de estratégias de manipulação de confiança: Eles não apenas replicam nomes e logotipos, mas também aproveitam as opções de avaliação e classificação da Firefox Store para legitimar seus produtos falsificados. Como a maioria das carteiras afetadas é de código aberto, os invasores tiveram fácil acesso para clonar funções visíveis e adicionar código malicioso sem levantar suspeitas imediatas.
Esta abordagem permitiu que muitos usuários da Internet, confiantes na aparência e nas avaliações, Instale esses plugins sem hesitar, o que facilitou a exfiltração em massa de dados confidenciais.
Recomendações para minimizar o impacto de extensões maliciosas
Dada a magnitude e persistência do ataque, os especialistas aconselham tomar precauções extremas ao instalar extensões, optando apenas por aqueles publicados por desenvolvedores verificados e revisar periodicamente os aplicativos instalados no navegador.
Algumas dicas essenciais são:
- Verifique sempre a identidade e a reputação do desenvolvedor antes de instalar qualquer extensão.
- Desconfie de avaliações excessivamente positivas ou repetitivas que podem ter sido manipulados.
- Esteja atento a solicitações de licenças incomuns ou mudanças inesperadas no comportamento da extensão.
- Remova imediatamente quaisquer extensões suspeitas ou que não tenha sido instalado pelo próprio usuário.
Desde A Koi Security também recomenda tratar as extensões com a mesma cautela que qualquer outro programa, usando listas de permissões e monitorando de perto qualquer comportamento incomum, além de instalar atualizações apenas de fontes oficiais.
Este incidente destaca a importância de aplicar boas práticas de segurança cibernética no ambiente de criptomoedas e na gestão de ferramentas digitais. Vigilância, proteção ativa e atualização constante são essenciais para não ser vítima desses ataques..
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.