Más de 40 extensiones maliciosas de Firefox suplantan wallets y roban criptomonedas

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una campaña de amenazas que afecta directamente al ecosistema de las criptomonedas y la seguridad de los navegadores web. Más de 40 extensiones maliciosas para Mozilla Firefox han sido identificadas suplantando aplicaciones legítimas de wallets populares como MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox. Estas extensiones fraudulentas tienen como objetivo principal el robo de credenciales y secretos de wallets, poniendo en grave riesgo los activos digitales de los usuarios.

Contexto del Incidente

El uso de extensiones de navegador para la gestión de wallets de criptomonedas se ha generalizado entre usuarios y profesionales del sector blockchain. Sin embargo, el modelo de distribución abierto de extensiones en repositorios oficiales y no oficiales ha sido explotado por actores maliciosos, quienes han desarrollado copias casi idénticas de wallets legítimos. Según el análisis de los investigadores, la campaña se ha dirigido fundamentalmente a usuarios de Mozilla Firefox, aprovechando que este navegador mantiene una base de usuarios significativa en el sector de las criptomonedas por su enfoque en la privacidad.

Las extensiones fueron detectadas tanto en canales de distribución alternativos como en el propio repositorio de complementos de Firefox, antes de ser eliminadas. La campaña parece estar activa desde hace varios meses y ha evolucionado en complejidad y alcance, utilizando técnicas de ingeniería social y SEO poisoning para posicionar las extensiones maliciosas en búsquedas relacionadas con wallets de criptomonedas.

Detalles Técnicos

La investigación ha identificado más de 40 extensiones fraudulentas, muchas de ellas con nombres, iconos y descripciones idénticas a las aplicaciones oficiales de wallets. Los análisis forenses revelan que estas extensiones integran scripts JavaScript ofuscados cuya lógica maliciosa se activa cuando el usuario introduce las frases semilla, claves privadas o contraseñas en el formulario de la wallet.

El vector de ataque principal es la exfiltración silenciosa de los datos sensibles a servidores controlados por el atacante mediante peticiones HTTP POST cifradas. Algunas variantes incluyen módulos para evadir análisis dinámicos y técnicas de sandboxing, así como capacidades de actualización remota del payload. El TTP mapeado en MITRE ATT&CK corresponde principalmente a T1555 (Credential from Password Stores) y T1119 (Automated Collection).

Como indicadores de compromiso (IoC), se han identificado dominios maliciosos asociados a las campañas de exfiltración, hashes de las extensiones y patrones de tráfico HTTP anómalo, incluyendo endpoints en dominios .xyz y .top. Según los informes, algunas extensiones maliciosas contenían código reutilizado de proyectos como Cobalt Strike para la gestión de beacons y el establecimiento de canales de comando y control (C2).

Impacto y Riesgos

El impacto de esta campaña es significativo: las wallets de criptomonedas gestionan activos por valor de miles de millones de euros, y la exfiltración de las frases semilla o claves privadas permite a los atacantes un acceso total e irreversible a los fondos. Aunque el número total de víctimas no ha sido confirmado, estimaciones preliminares sugieren que hasta un 3% de los usuarios activos de wallets en Firefox podrían haberse visto afectados durante el periodo de actividad de estas extensiones.

A nivel económico, los robos de criptomonedas derivados de campañas similares han superado los 100 millones de euros en los últimos 12 meses, según datos de Chainalysis y CipherTrace. Además, las empresas que gestionan fondos de terceros están sujetas a obligaciones regulatorias (GDPR, NIS2), por lo que una brecha de este tipo puede implicar sanciones y pérdida de confianza.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad y usuarios profesionales:

– Verificar la autenticidad de cualquier extensión antes de su instalación, preferiblemente accediendo a los enlaces oficiales de los desarrolladores.
– Implementar controles de allowlisting en los entornos corporativos para restringir la instalación de extensiones no autorizadas.
– Monitorizar los endpoints y el tráfico de red en busca de IoCs asociados (consultar los últimos informes de las firmas de seguridad).
– Realizar análisis forense de los navegadores en sistemas donde se haya gestionado criptomonedas.
– Promover campañas de concienciación en la organización sobre el riesgo de instalar extensiones de fuentes no verificadas.
– Actualizar periódicamente los navegadores y eliminar extensiones innecesarias o sospechosas.

Opinión de Expertos

Especialistas en ciberseguridad como David Barroso (CounterCraft) y Chema Alonso (Telefónica) han destacado que este tipo de campañas evidencia la necesidad de aplicar una defensa en profundidad en la gestión de activos digitales, más allá de la protección perimetral. Señalan la importancia de los controles de integridad y la monitorización de eventos en endpoints críticos. Además, subrayan que los navegadores siguen siendo un vector de ataque subestimado en el sector.

Implicaciones para Empresas y Usuarios

Para las empresas que operan con criptoactivos o brindan servicios de custodia, este incidente refuerza la urgencia de adoptar una postura Zero Trust y segmentar los entornos de acceso a wallets. Las auditorías periódicas de los sistemas y la supervisión activa de los repositorios de extensiones son ahora más críticas que nunca. Asimismo, los usuarios finales deben asumir que la gestión segura de claves privadas no debe depender únicamente de extensiones de navegador, sino complementarse con hardware wallets y soluciones de autenticación multifactor.

Conclusiones

La aparición de más de 40 extensiones maliciosas en Firefox dirigidas a la exfiltración de secretos de wallets constituye una amenaza real y en expansión para los activos digitales. La sofisticación técnica y la capacidad para evadir controles tradicionales hacen imprescindible reforzar la seguridad en el endpoint y la concienciación de usuarios y equipos técnicos. Solo una aproximación multidisciplinar, combinando tecnología, procesos y formación, permitirá mitigar eficazmente este tipo de riesgos en el cambiante panorama de la ciberseguridad.

(Fuente: feeds.feedburner.com)