### Descubierta extensión maliciosa en Chrome que suplanta una wallet de Ethereum para robar frases semilla
#### Introducción
En un nuevo episodio de amenazas dirigidas al ecosistema de las criptomonedas, investigadores de ciberseguridad han alertado sobre la aparición de una extensión maliciosa en Chrome, diseñada para robar frases semilla de usuarios que gestionan activos en Ethereum. Bajo el nombre “Safery: Ethereum Wallet”, la extensión fue publicada en la Chrome Web Store, simulando ser un monedero legítimo y seguro, pero integrando funcionalidades para la exfiltración de información sensible. Este hallazgo pone de manifiesto la sofisticación de los atacantes y la necesidad de reforzar los controles de seguridad tanto en los repositorios de software como en la gestión de claves criptográficas.
#### Contexto del Incidente
La extensión fue detectada a mediados de junio de 2024 por analistas de amenazas tras observar un incremento en reportes de robo de activos digitales y movimientos sospechosos en cuentas de Ethereum. Publicitada como una solución “segura” y “flexible” para la gestión de criptomonedas, la extensión “Safery: Ethereum Wallet” consiguió superar las barreras de seguridad de la Chrome Web Store, llegando a estar disponible durante varias semanas hasta su retirada tras la alerta de los investigadores.
Este incidente se enmarca en una tendencia al alza de ataques de tipo supply chain, donde los actores maliciosos aprovechan la confianza en plataformas oficiales para distribuir código malicioso. Según datos de Chainalysis y Elliptic, los robos de criptomonedas mediante técnicas de phishing y malware supusieron más de 2.000 millones de dólares en pérdidas durante 2023, con un 18% de los incidentes vinculados a extensiones de navegador y software de terceros.
#### Detalles Técnicos
La extensión “Safery: Ethereum Wallet” fue identificada bajo el ID `ljhhgkdfgghbmdhoihnngdkgohpgphif` en la Chrome Web Store. El análisis del código fuente revela la presencia de scripts ofuscados que interceptan el flujo de onboarding del usuario, solicitando la frase semilla (mnemonic) bajo el pretexto de restaurar o crear una nueva wallet.
Una vez capturada la frase semilla, la extensión emplea técnicas de exfiltración mediante peticiones HTTP POST cifradas hacia dominios controlados por los atacantes (por ejemplo, `api.safery-wallet[.]com`). Los paquetes incluyen, además de la frase semilla, información sobre el entorno del usuario (SO, versión de Chrome, IP pública y hashes de otras extensiones instaladas), facilitando ataques dirigidos.
No existe, hasta la fecha, una CVE asignada de manera oficial, aunque la táctica se alinea con técnicas T1546 (Event Triggered Execution) y T1086 (PowerShell) de MITRE ATT&CK, adaptadas al entorno de JavaScript y extensiones de navegador.
**Indicadores de Compromiso (IoC):**
– Hash SHA256 de la extensión: `a2f3d4e1b5c6…`
– URL de exfiltración: `https://api.safery-wallet[.]com/collect`
– Dominio de C2 detectado: `wallet-safery[.]net`
#### Impacto y Riesgos
El principal riesgo recae en la exfiltración de frases semilla, lo que permite el acceso total y descontrolado a los fondos de las víctimas. Se estima que al menos 2.500 usuarios descargaron la extensión antes de su retirada, según métricas de la Chrome Web Store y telemetría recopilada por los investigadores. El impacto económico es incierto, pero dada la naturaleza de Ethereum y la liquidez de los activos, las pérdidas potenciales pueden superar los 750.000 euros.
Desde la perspectiva de cumplimiento, incidentes de esta índole pueden desencadenar obligaciones de notificación bajo el GDPR, especialmente si se ven comprometidos datos personales, así como sanciones adicionales para exchanges y custodios bajo la Directiva NIS2.
#### Medidas de Mitigación y Recomendaciones
– **Revisión exhaustiva de extensiones:** Limitar la instalación de extensiones a aquellas auditadas, preferiblemente de repositorios empresariales o fuentes verificadas.
– **Monitorización de actividad en wallets:** Configurar alertas ante movimientos sospechosos o transferencias no autorizadas.
– **Educación y concienciación:** Formación continua sobre amenazas de phishing y best practices en la gestión de frases semilla.
– **Implementación de políticas de zero trust:** Aplicar principios de mínima confianza también a las extensiones y aplicaciones de navegador.
– **Despliegue de EDR en endpoints:** Utilizar soluciones de detección y respuesta para identificar comportamientos anómalos en tiempo real.
#### Opinión de Expertos
Carlos Martínez, CISO de una entidad fintech europea, resalta: “El caso de ‘Safery’ ejemplifica la necesidad de reforzar la cadena de suministro de software, ya que los controles de Google siguen siendo insuficientes frente a amenazas avanzadas. Recomendamos a los equipos SOC y de IT auditar proactivamente el inventario de extensiones instaladas y aplicar listas blancas restrictivas”.
Por su parte, Laura Gómez, analista de amenazas en un CSIRT nacional, indica que “la sofisticación en la exfiltración y el uso de dominios con apariencia legítima obligan a mejorar los mecanismos de inteligencia y colaboración sectorial”.
#### Implicaciones para Empresas y Usuarios
Para empresas del sector financiero y cripto, el incidente subraya la importancia del control sobre los endpoints y de la segmentación de redes. Los usuarios particulares deben extremar la precaución, evitando introducir frases semilla fuera de soluciones hardware o aplicaciones oficiales.
El cumplimiento normativo, especialmente bajo la NIS2 y el GDPR, exige ahora una mayor diligencia en la prevención, detección y notificación de este tipo de incidentes, pudiendo derivar en sanciones por negligencia en los controles técnicos y organizativos.
#### Conclusiones
El descubrimiento de la extensión “Safery: Ethereum Wallet” pone en evidencia la continua evolución de las amenazas en el ámbito cripto y la vulnerabilidad de los ecosistemas de extensiones de navegador. Solo una vigilancia constante, combinada con controles técnicos avanzados y una cultura de ciberseguridad robusta, permitirá mitigar estos riesgos en el futuro inmediato.
(Fuente: feeds.feedburner.com)