¡Atención, usuarios de criptomonedas que navegan con Firefox! Hay una alerta que no pueden pasar por alto. Se ha destapado una campaña masiva que busca robar tokens directamente de las billeteras digitales. Investigadores de seguridad de Koi Security han identificado nada menos que 150 complementos en la tienda de Mozilla que operan como ladrones de información y keyloggers. ¿Te imaginas ser víctima de un robo digital sin ni siquiera darte cuenta?
¿Qué está sucediendo?
Estos complementos comenzaron como herramientas que parecían inofensivas, disfrazándose de billeteras de criptomonedas populares como MetaMask, TronLink y Rabby. Pero una vez que lograron acumular suficientes descargas y críticas positivas, los atacantes cambiaron el juego. ¿Qué hicieron? Sustituyeron las versiones originales por nuevas, con nombres y logotipos diferentes, inyectando un código malicioso que roba las credenciales y las direcciones IP de los usuarios.
Según Koi Security, “las extensiones maliciosas capturan las credenciales de las billeteras directamente desde los campos de entrada del usuario dentro de la interfaz emergente de la extensión y las exfiltran a un servidor remoto controlado por el grupo”. Esto significa que los atacantes pueden obtener información sensible de los usuarios sin que ellos se enteren. ¿No es inquietante?
Los detalles del ataque y su origen
Al iniciar, estos complementos también envían la dirección IP externa de la víctima, un movimiento que puede ser utilizado para rastrearlos o incluso lanzar ataques específicos. Los investigadores han apodado esta campaña como “GreedyBear”, que hasta la fecha ha generado más de un millón de dólares. La referencia a “bear” (oso) sugiere una posible conexión con Rusia, especialmente porque la operación se apoya en numerosos sitios de software pirata que distribuyen variantes de malware.
Los especialistas en seguridad han señalado que el malware que circula en estos sitios es bastante genérico, aunque LummaStealer ha destacado como uno de los nombres más notorios. Curiosamente, todos estos sitios están vinculados a la misma dirección IP, lo que indica que una sola entidad podría estar detrás de toda esta operación. ¿Qué te parece esta información?
Acciones tomadas y recomendaciones para los usuarios
Koi Security ya notificó a Mozilla sobre sus hallazgos y, como respuesta, la compañía eliminó rápidamente todos los complementos maliciosos de su repositorio. Sin embargo, si tú descargaste alguna de estas extensiones, todavía estás en riesgo. Es fundamental que elimines estos complementos de tu navegador y cambies todas tus credenciales de inicio de sesión. ¿Ya lo hiciste?
Es crucial que los usuarios de Firefox se mantengan alertas y revisen las extensiones instaladas en sus navegadores, quitando cualquier complemento que parezca sospechoso o que no reconozcan. Además, se recomienda implementar medidas de seguridad adicionales, como la autenticación de dos factores y un monitoreo regular de las cuentas de criptomonedas. En un mundo digital donde las amenazas se vuelven cada vez más sofisticadas, la precaución y la educación sobre seguridad cibernética son esenciales para proteger tus activos digitales.
