Más de 40 extensiones fraudulentas en Firefox suplantan monederos de criptomonedas para robar credenciales

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado una oleada significativa de extensiones maliciosas en la tienda oficial de complementos de Firefox, afectando directamente a la seguridad de los usuarios de criptomonedas. Más de 40 addons falsos han sido identificados suplantando monederos digitales de proveedores reconocidos, con el objetivo de capturar credenciales y datos sensibles. Este incidente pone de manifiesto la creciente sofisticación y volumen de las amenazas dirigidas al ecosistema DeFi y la importancia de extremar las precauciones en la gestión de identidades digitales y claves privadas.

Contexto del Incidente

El incidente salió a la luz tras la denuncia de varios usuarios y analistas de amenazas que detectaron extensiones sospechosas en el repositorio oficial de Mozilla Firefox. Estas extensiones, que simulaban ser aplicaciones legítimas de monederos como MetaMask, Coinbase Wallet, Trezor y Binance Chain Wallet, lograron eludir los controles de seguridad del marketplace de Firefox y estuvieron disponibles para su descarga durante semanas.

Mozilla, tras la alerta, inició una investigación interna y procedió a retirar los complementos fraudulentos, pero se desconoce el número exacto de descargas previas. Según datos preliminares, miles de usuarios podrían haber estado expuestos al ataque, comprometiendo tanto claves privadas como frases semilla y otros datos críticos relacionados con sus fondos en criptomonedas.

Detalles Técnicos

Los actores de amenaza emplearon técnicas de suplantación de identidad (phishing) y clonación de interfaces para imitar de manera fiel la experiencia de usuario de las extensiones originales. Los addons maliciosos, muchos de ellos con nombres y logotipos idénticos a los de las aplicaciones legítimas, solicitaban a las víctimas la introducción de sus frases de recuperación (seed phrases) o la clave privada durante la fase de configuración inicial.

Una vez capturados estos datos, la información era exfiltrada a servidores controlados por los atacantes, generalmente mediante peticiones HTTP POST cifradas, dificultando su detección por parte de soluciones EDR convencionales. En cuanto a los TTPs (Tactics, Techniques, and Procedures) observados, el ataque se alinea con la técnica T1185 (“Browser Extensions”) y T1566 (“Phishing”) del marco MITRE ATT&CK.

En algunos casos, los investigadores han identificado la utilización de scripts ofuscados en JavaScript y la integración de módulos de exfiltración basados en frameworks como Cobalt Strike para el control remoto de las sesiones comprometidas. No se han documentado aún exploits específicos (CVE) asociados a la vulnerabilidad explotada, ya que el vector principal es la ingeniería social y la suplantación en el marketplace.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, especialmente para usuarios que gestionan activos digitales de alto valor. La exposición de frases semilla y claves privadas supone la sustracción inmediata de fondos, sin posibilidad de recuperación debido a la naturaleza descentralizada de las blockchain. Además, los atacantes podrían emplear los datos sustraídos para ataques posteriores, como spear-phishing o la venta de credenciales en mercados clandestinos.

Según estimaciones de firmas de análisis, el volumen de criptomonedas robadas en campañas similares durante 2023 superó los 60 millones de dólares a nivel global. El hecho de que las extensiones maliciosas se hayan distribuido desde la tienda oficial de Firefox genera un clima de desconfianza hacia los repositorios de software, afectando tanto a particulares como a empresas del sector financiero y tecnológico.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:

– Verificar siempre la autoría y la legitimidad de las extensiones antes de instalar, comprobando la identidad del desarrollador y las valoraciones de la comunidad.
– Utilizar gestores de contraseñas y soluciones de autenticación multifactor (MFA) siempre que sea posible.
– Mantener actualizados los sistemas y extensiones, y eliminar cualquier complemento sospechoso o no utilizado.
– Implementar políticas de whitelisting de extensiones en entornos corporativos mediante soluciones MDM o GPOs.
– Monitorizar logs de actividad en endpoints y navegadores en busca de patrones anómalos de acceso o exfiltración de datos.

Opinión de Expertos

Analistas de amenazas de empresas líderes como Kaspersky y Recorded Future han señalado que la tendencia de ataques a través de extensiones de navegador va en aumento, dada la confianza implícita que los usuarios depositan en los marketplaces oficiales. Los expertos recomiendan que los equipos de ciberseguridad incluyan la revisión y gestión de extensiones en sus auditorías periódicas, y que tanto Mozilla como otros proveedores refuercen sus mecanismos de revisión automatizada y manual.

Implicaciones para Empresas y Usuarios

Las organizaciones que facilitan el uso de criptomonedas entre sus empleados o clientes deben considerar este vector de ataque en sus evaluaciones de riesgos, integrando controles adicionales en la protección de los endpoints y en la formación de los usuarios. El cumplimiento con normativas como GDPR y la inminente NIS2 obliga a las empresas a extremar las medidas de protección de datos personales y activos digitales, así como a notificar incidentes de seguridad en plazos estrictos.

Conclusiones

Este incidente pone de manifiesto la importancia de la vigilancia activa y la educación en ciberseguridad, tanto para usuarios individuales como para organizaciones que operan en el entorno digital. La proliferación de extensiones maliciosas en plataformas oficiales requiere una revisión urgente de los procesos de validación y una actitud proactiva en la gestión de riesgos asociados al software de terceros.

(Fuente: www.bleepingcomputer.com)