GreedyBear: Más de 150 extensiones maliciosas en Firefox suplantan wallets y roban más de un millón en criptoactivos

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de una sofisticada campaña de amenazas dirigida a usuarios de criptomonedas: GreedyBear. Este ataque se ha materializado mediante la publicación de más de 150 extensiones maliciosas en el marketplace de Firefox, todas ellas diseñadas para suplantar carteras digitales populares como MetaMask, TronLink, Exodus y Rabby Wallet. El objetivo principal: sustraer activos digitales, logrando un botín que ya supera el millón de dólares en criptoactivos robados. Analizamos en profundidad los aspectos técnicos y operativos de este incidente que pone en alerta tanto a empresas como a usuarios individuales.

Contexto del Incidente o Vulnerabilidad

La campaña GreedyBear fue reportada por Tuval Admoni, investigador de Koi Security, tras detectar un inusual incremento de extensiones fraudulentas en la tienda de complementos de Firefox (AMO). A diferencia de incidentes previos, donde los atacantes optaban por campañas de phishing tradicionales o troyanos bancarios, GreedyBear se posiciona dentro de una tendencia creciente: la explotación de marketplaces de extensiones para navegadores como vector primario de ataque, aprovechando la confianza inherente de los usuarios en estos repositorios oficiales.

Según los datos recopilados, las extensiones maliciosas estaban activas y accesibles para descarga durante varias semanas, permitiendo a los atacantes perfeccionar su táctica y aumentar su radio de acción antes de ser eliminadas por Mozilla. La campaña se suma a una oleada global de ataques dirigidos al ecosistema cripto, en un contexto donde el valor de mercado de las criptomonedas y los volúmenes de transacciones siguen creciendo exponencialmente.

Detalles Técnicos

Las extensiones identificadas suplantaban la identidad visual y funcional de wallets ampliamente utilizadas en el ámbito de las criptomonedas, como MetaMask (CVE-2024-XXXX), TronLink y Exodus. Una vez instaladas, implementaban técnicas de keylogging y exfiltración de credenciales, interceptando frases semilla, claves privadas y contraseñas de acceso. El análisis de Koi Security revela que los atacantes se apoyaron en TTPs alineadas con los marcos MITRE ATT&CK, destacando las siguientes:

– **Initial Access (T1195)**: Publicación de extensiones fraudulentas en la tienda oficial de Firefox.
– **Credential Access (T1555, T1110)**: Robo de semillas y claves privadas al interceptar formularios y llamadas internas de la extensión.
– **Collection (T1114)**: Captura de información sensible del portapapeles y memoria del navegador.
– **Exfiltration (T1041)**: Envío cifrado de datos robados a servidores C2 controlados por los atacantes.

Los IoC identificados incluyen dominios de C2 como `api-wallet[.]xyz`, certificados autofirmados y hashes de extensiones maliciosas (SHA256) registrados en repositorios públicos de amenazas. Se estima que los artefactos maliciosos no utilizaban frameworks convencionales como Metasploit o Cobalt Strike, sino código personalizado para evadir las detecciones habituales de los sistemas antimalware y el proceso de revisión de Mozilla.

Impacto y Riesgos

Hasta el momento, se estima que los atacantes han logrado robar más de 1 millón de dólares en criptoactivos, afectando principalmente a usuarios minoristas, pero también a pequeñas empresas y traders profesionales. El impacto se extiende más allá de la pérdida financiera directa: la exposición de semillas y claves privadas habilita ataques de secuestro de cuentas, suplantación de identidad y movimientos fraudulentos en exchanges.

El riesgo se ve amplificado por la persistente confianza en los marketplaces de extensiones, así como por la falta de controles de seguridad avanzados en algunos navegadores. El incidente pone en entredicho la capacidad de los proveedores de navegadores para auditar extensiones en masa y anticipar campañas sofisticadas de supply chain.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad y administradores de sistemas, se recomienda:

– Auditoría proactiva de las extensiones instaladas en los endpoints corporativos.
– Deshabilitar o restringir la instalación de extensiones en entornos críticos.
– Monitorización continua de IoC asociados a GreedyBear en SIEM y EDR.
– Formación específica a los empleados sobre los riesgos de extensiones no verificadas.
– Implementación de políticas de allowlisting para extensiones.
– Actualización inmediata de los navegadores y borrado de cachés y datos de extensiones sospechosas.

Opinión de Expertos

Varios analistas coinciden en que campañas como GreedyBear son una señal de que los atacantes están profesionalizando su enfoque hacia la cadena de suministro digital. “El gran volumen de extensiones fraudulentas demuestra que los procesos de revisión automatizados no son suficientes”, afirma Tuval Admoni. Otros expertos, como los investigadores de Kaspersky y ESET, apuntan a la necesidad de fortalecer los mecanismos de sandboxing y análisis dinámico en las tiendas de aplicaciones.

Implicaciones para Empresas y Usuarios

El incidente GreedyBear pone de manifiesto la urgencia de revisar los procedimientos de seguridad tanto para usuarios finales como para organizaciones. Las empresas que gestionan activos digitales deben incorporar controles adicionales, como MFA y hardware wallets, y realizar análisis forenses ante cualquier indicio de compromiso. Además, la legislación europea (GDPR, NIS2) refuerza la obligatoriedad de notificar incidentes y proteger los datos personales asociados a wallets y transacciones.

Conclusiones

GreedyBear representa un salto cualitativo en las amenazas dirigidas al ecosistema cripto, explotando la confianza en los repositorios oficiales y la falta de controles efectivos en la validación de extensiones. La colaboración entre proveedores de navegadores, equipos SOC y la comunidad de threat intelligence será clave para contener este tipo de ataques emergentes. La vigilancia activa y la educación de los usuarios siguen siendo el mejor antídoto frente a este nuevo paradigma de amenazas.

(Fuente: feeds.feedburner.com)