Uma campanha de malware está utilizando extensões maliciosas do Firefox que imitam carteiras legítimas de criptomoedas para roubar fundos de usuários desavisados, segundo um novo estudo.
A Koi Security descobriu que mais de 40 extensões maliciosas estavam se passando por carteiras reais como parte da campanha “FoxyWallet”, incluindo Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr e MyMonero.
O ataque utiliza um código malicioso para extrair segredos das carteiras e enviá-los para servidores controlados pelos criminosos. O código verifica entradas com mais de 30 caracteres para filtrar chaves e frases-semente plausíveis, antes de transmitir os dados aos invasores. O endereço IP externo da vítima também é enviado, permitindo rastreamento ou ataques adicionais.
A Koi Security explicou que os criadores do FoxyWallet “aproveitaram o fato de que as extensões oficiais são de código aberto”, acrescentando que “eles clonaram os repositórios originais e inseriram sua própria lógica maliciosa, criando extensões que se comportavam como esperado enquanto roubavam dados sensíveis em segredo”.
Uma análise mais aprofundada dessas extensões sugere a atuação de um agente de ameaça de língua russa, com comentários em russo encontrados no código, bem como metadados em um arquivo PDF localizado no servidor de comando e controle.
A campanha parece estar ativa desde pelo menos abril, com novas extensões maliciosas adicionadas na semana passada, segundo a Koi Security. Algumas extensões falsas ainda estavam disponíveis na loja de complementos do Firefox até ontem, apesar da empresa já ter reportado suas descobertas à Mozilla por meio da ferramenta oficial de denúncias.
A criadora do Firefox, Mozilla, divulgou um comunicado na quinta-feira afirmando que está “ciente das tentativas de explorar o ecossistema de complementos do Firefox usando extensões maliciosas para roubo de criptomoedas”, acrescentando que “por meio de melhorias em ferramentas e processos, tomamos medidas para identificar e remover rapidamente tais complementos”.
A empresa acrescentou que muitas das extensões maliciosas destacadas no relatório da Koi Security já haviam sido removidas por sua equipe antes da publicação, e que está “no processo de revisar os poucos complementos restantes identificados, como parte do nosso compromisso contínuo com a proteção dos usuários”.
Um “jogo de gato e rato”
A Mozilla apontou para uma publicação recente em seu blog sobre os esforços para enfrentar a ameaça de extensões que roubam criptomoedas, na qual o gerente de operações de complementos, Andreas Wagner, observou que a empresa descobriu “centenas” de carteiras fraudulentas nos últimos anos.
“É um constante jogo de gato e rato”, disse Wagner, à medida que desenvolvedores de malware tentam “driblar nossos métodos de detecção”.
Para evitar ser vítima do FoxyWallet ou de golpes semelhantes, recomenda-se que os usuários instalem extensões apenas de desenvolvedores verificados, tratem extensões como softwares completos, utilizem listas de permissões para restringir a instalação apenas a extensões validadas e implementem monitoramento contínuo, e não apenas varreduras pontuais.
* Traduzido e editado com autorização do Decrypt.