Extensões maliciosas do Firefox imitam MetaMask e Coinbase para roubar criptomoedas

Pesquisadores da empresa de segurança cibernética Koi Security sinalizaram mais de 40 extensões falsas do Firefox projetadas para roubar credenciais de wallet para criptomoedas , personificando plataformas populares como MetaMask, Coinbase e OKX.

Os ativos de criptomoeda mantidos pelos usuários do Firefox, um navegador de código aberto amplamente utilizado, estão em risco, de acordo com um relatório recente da empresa de segurança.

Uma campanha em grande escala, ativa desde pelo menos abril de 2025, está aproveitando extensões maliciosas ainda disponíveis na loja de complementos da Mozilla, destacando lacunas significativas no processo de verificação de plug-ins do navegador.

A Koi Security adverte que essas extensões falsas espelham ofertas legítimas de carteiras com precisão alarmante, usando os mesmos nomes, logotipos e marcas para enganar os usuários.

Em muitos casos, as extensões replicam o código de carteiras de código aberto, com código malicioso discretamente inserido para roubar criptomoedas enquanto funcionam como um plug-in normal.

Algumas das marcas representadas pelas extensões falsas do Firefox incluem MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.

No início deste ano, a OKX alertou sobre uma extensão de navegador falsa listada na loja Firefox, que imitava o plug-in de origem da exchange para roubar credenciais das carteiras das vítimas.

Extensão maliciosa ainda ativa na loja Firefox

Koi vinculou a campanha a mais de 40 extensões individuais por meio de táticas, técnicas e procedimentos compartilhados, bem como infraestrutura sobreposta.

De acordo com o relatório, a campanha está atualmente "ativa, persistente e em evolução", com novas versões das extensões continuando a aparecer, apesar dos esforços de remoção. Os uploads mais recentes foram detectados em junho.

Uma vez instaladas, as extensões falsas extraem silenciosamente os segredos da carteira e os transmitem para um servidor remoto controlado pelos invasores.

Além de roubar credenciais de login, o malware captura os endereços IP externos dos usuários, potencialmente para ajudar em mais perfis ou ataques subsequentes.

Para incentivar downloads, os invasores também exploram mecanismos de confiança no mercado de plug-ins.

Muitas das extensões falsas são sustentadas por centenas de avaliações falsas de cinco estrelas, excedendo em muito o que seria esperado com base nas instalações reais do usuário.

Koi encontrou sinais apontando para um agente de ameaça que fala russo, incluindo comentários em russo incorporados no código de extensão e metadados recuperados de um servidor de comando usado na operação.

Embora a atribuição permaneça provisória, os pesquisadores da Koi acreditam que esses indicadores sugerem um grupo bem organizado e tecnicamente proficiente.

A escala e a sofisticação da campanha representam uma ameaça significativa para os usuários de criptomoedas.

Ao sequestrar extensões de navegador, uma ferramenta comumente confiável entre traders e investidores, os invasores podem contornar as defesas tradicionais de phishing e obter acesso direto às carteiras.

Como essas extensões geralmente operam com permissões elevadas, elas podem comprometer as contas da vítima sem que elas possam detectá-las até que seja tarde demais.

Uma tática milenar

Campanhas como essas ressaltam os riscos que os usuários de criptomoedas de varejo enfrentam, especialmente à medida que a adoção de criptomoedas aumenta e as interações de carteira baseadas em navegador se tornam mais comuns.

De acordo com uma pesquisa da NASAA, fraudes relacionadas a criptomoedas e golpes baseados em mídias sociais permanecem entre as principais ameaças aos investidores em 2025.

Nos últimos anos, extensões de navegador maliciosas se tornaram uma ferramenta proeminente no arsenal do cibercriminoso, com incidentes surgindo em outros navegadores também.

Por exemplo, em março, uma versão comprometida da ferramenta de proxy do Chrome SwitchyOmega foi encontrada roubando chaves privadas de wallets para criptomoedas depois que um ataque de phishing permitiu a injeção de código malicioso.

Outra extensão maliciosa do Chrome apelidada de "Bull Checker" foi sinalizada pela DEX Jupiter, baseada em Solana, no ano passado. A extensão drenou as carteiras do usuário modificando as cargas úteis das transações.

Táticas semelhantes também foram empregadas em campanhas anteriores envolvendo versões falsas do aplicativo Ledger Live e ferramentas de negociação da Aggr.

Algumas extensões solicitam que os usuários insiram suas frases iniciais durante a configuração ou coletem secretamente cookies do navegador, que são usados para reconstruir senhas e acessar contas de criptomoedas.