Foto de Investigadores de la empresa de seguridad Koi descubrieron una campaña en curso que difundía extensiones de billetera maliciosas en Firefox. Estas aplicaciones maliciosas falsificaban las billeteras más utilizadas, robando frases privadas y dejando a los usuarios vulnerables a ser vaciados.
Una campaña en curso está difundiendo extensiones maliciosas que suplantan algunas de las billeteras de criptomonedas más comunes en Firefox. El equipo de seguridad de Koi descubrió que algunas aplicaciones fueron eliminadas, mientras que otras seguían activas, haciéndose pasar por billeteras legítimas.
El equipo de ataque de SlowMist también advirtió a los usuarios que estuvieran atentos, ya que el ataque sigue activo. Las aplicaciones falsas se están propagando a través de la tienda oficial de Firefox, lo que las hace potencialmente más engañosas y peligrosas.
🚨Alerta TI de SlowMist🚨
Está en marcha una campaña maliciosa masiva que involucra docenas de extensiones de Firefox, dent monederos como MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX… pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 de julio de 2025
El ataque es relativamente simple, pero se dirige al tipo de usuario más fácil, que busca acceso casual a criptomonedas. Usar una aplicación comprometida o introducir frases privadas en ella puede ocasionar pérdidas significativas. Los usuarios ya están reportando pérdidas a causa de las aplicaciones falsas.
Los ataques y exploits se aceleraron en el primer semestre de 2025, a medida que las criptomonedas se revalorizaban. Las amenazas también provinieron de hackers de la RPDC que se infiltraban en proyectos, con cientos de personas potencialmente afectadas por código malicioso.
Las extensiones falsas de Firefox se dirigen a las billeteras más utilizadas
Koi interceptó aplicaciones falsas para algunas de las extensiones de billetera más utilizadas, incluidas Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox.
Los investigadores descubrieron más de 40 aplicaciones que se hacían pasar por monederos, y están apareciendo otras nuevas. Algunas de las billeteras falsas siguen activas en enlaces no oficiales. Según los investigadores, las aplicaciones falsas comenzaron a propagarse alrededor de abril de 2025.
Las extensionestracy envían extensiones de billetera, llegando a un servidor controlado por el atacante. Las aplicaciones también transmiten la dirección IP del usuario para tracy posterior segmentación.
Los atacantes clonaron el código de fuente abierta de billeteras legítimas
El ataque fue relativamente simple, y a menudo utilizaba el código legítimo de la billetera para proyectos de código abierto como MetaMask. Las aplicaciones falsas luego inyectaban el código malicioso para permitir que la billetera robara datos ydent.
Las aplicaciones de billeteras falsas estaban activas en las tiendas de aplicaciones, usando los mismos logotipos y estilo que la billetera original. Anteriormente, las billeteras falsas se habían dirigido a proyectos específicos, pero esta vez, el atacante falsificó billeteras multiactivo, ampliamente utilizadas para DeFi, trading, NFT y otras tareas en cadena.
El análisis de código concluyó que el ataque probablemente se originó en Rusia, ya que se descubrieron comentarios de código en ruso en algunas aplicaciones. Los metadatos de un archivo en uno de los servidores de comando y control también apuntan a un atacante ruso.
Koi recomienda a los usuarios instalar un filtro de lista de permitidos y evitar descargar aplicaciones sin verificarlas. Algunas aplicaciones podrían no presentar problemas, pero posteriormente se actualizan y cambian su comportamiento. Los investigadores de seguridad también desaconsejan buscar aplicaciones directamente, ya que los resultados pueden indicar billeteras falsas con reseñas de cinco estrellas infladas deliberadamente. La mejor opción es usar la página web oficial de la billetera o las redes sociales.
También se recomendó a los usuarios que fueran escépticos al ver una aplicación con demasiadas reseñas de cinco estrellas, colocadas artificialmente para que la aplicación pareciera establecida y legítima.
