Extensiones maliciosas de Firefox imitan a MetaMask y Coinbase para robar criptomonedas

Los investigadores de la empresa de ciberseguridad Koi Security han identificado más de 40 extensiones falsas de Firefox diseñadas para robar credenciales de wallet de criptomonedas haciéndose pasar por plataformas populares como MetaMask, Coinbase y OKX.

Los activos de criptomonedas en poder de los usuarios de Firefox, un navegador de código abierto ampliamente utilizado, están en riesgo, según un informe reciente de la firma de seguridad.

Una campaña a gran escala, activa desde al menos abril de 2025, está aprovechando las extensiones maliciosas que aún están disponibles en la tienda de complementos de Mozilla, lo que pone de manifiesto importantes lagunas en el proceso de investigación de plugins del navegador.

Koi Security advierte que estas extensiones falsas reflejan las ofertas legítimas de billeteras con una precisión alarmante, utilizando los mismos nombres, logotipos y marcas para engañar a los usuarios.

En muchos casos, las extensiones replican el código de las billeteras de código abierto, con código malicioso insertado discretamente para deslizar criptomonedas mientras funcionan como un complemento normal.

Algunas de las marcas suplantadas por las extensiones falsas de Firefox incluyen MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox.

A principios de este año, OKX advirtió sobre una extensión de navegador falsa que figuraba en la tienda Firefox, que imitaba el complemento de orígenes del exchange para robar credenciales de las billeteras de las víctimas.

La extensión maliciosa sigue activa en la tienda de Firefox

Koi vinculó la campaña a más de 40 extensiones individuales a través de tácticas, técnicas y procedimientos compartidos, así como una infraestructura superpuesta.

Según el informe, la campaña está actualmente "activa, persistente y en evolución", y siguen apareciendo nuevas versiones de las extensiones a pesar de los esfuerzos de eliminación. Las últimas subidas se detectaron en junio.

Una vez instaladas, las extensiones falsas extraen silenciosamente los secretos de la billetera y los transmiten a un servidor remoto controlado por los atacantes.

Además de robar las credenciales de inicio de sesión, el malware captura las direcciones IP externas de los usuarios, potencialmente para ayudar en la creación de perfiles adicionales o ataques de seguimiento.

Para fomentar las descargas, los atacantes también explotan los mecanismos de confianza en el mercado de complementos.

Muchas de las extensiones falsas están respaldadas por cientos de reseñas falsas de cinco estrellas, que superan con creces lo que se esperaría en función de las instalaciones reales de los usuarios.

Koi encontró señales que apuntaban a un actor de amenazas de habla rusa, incluidos comentarios en ruso incrustados en el código de extensión y metadatos recuperados de un servidor de comando utilizado en la operación.

Si bien la atribución sigue siendo tentativa, los investigadores de Koi creen que estos indicadores sugieren un grupo bien organizado y técnicamente competente.

La escala y la sofisticación de la campaña representan una amenaza significativa para los usuarios de criptomonedas.

Al secuestrar las extensiones del navegador, una herramienta de confianza común entre los operadores e inversores, los atacantes pueden eludir las defensas tradicionales de phishing y obtener acceso directo a las billeteras.

Dado que estas extensiones a menudo operan con permisos elevados, pueden comprometer las cuentas de una víctima sin que puedan detectarlo hasta que sea demasiado tarde.

Una táctica milenaria

Campañas como estas subrayan los riesgos a los que se enfrentan los usuarios minoristas de criptomonedas, especialmente a medida que aumenta la adopción de criptomonedas y las interacciones con los monederos basados en el navegador son cada vez más comunes.

Según una encuesta de la NASAA, el fraude relacionado con las criptomonedas y las estafas basadas en las redes sociales siguen estando entre las principales amenazas para los inversores en 2025.

En los últimos años, las extensiones de navegador maliciosas se han convertido en una herramienta destacada en el arsenal de los ciberdelincuentes, con incidentes que también surgen en otros navegadores.

Por ejemplo, en marzo, se descubrió que una versión comprometida de la herramienta de proxy de Chrome SwitchyOmega robaba claves privadas de wallets criptomonedas después de que un ataque de phishing permitiera la inyección de código malicioso.

Otra extensión maliciosa de Chrome denominada "Bull Checker" fue señalada por DEX Jupiter, basada en Solana, el año pasado. La extensión drenó las billeteras de los usuarios modificando las cargas útiles de las transacciones.

También se han empleado tácticas similares en campañas anteriores que involucran versiones falsas de la aplicación Ledger Live y las herramientas de trading de Aggr.

Algunas extensiones solicitan a los usuarios que ingresen sus frases iniciales durante la configuración o recopilan en secreto cookies del navegador, que luego se utilizan para reconstruir contraseñas y acceder a cuentas criptográficas.