Más de 40 extensiones falsas de Firefox suplantan billeteras cripto en una campaña activa de robo de credenciales

La campaña de malware apunta a usuarios de Firefox con extensiones maliciosas que imitan a servicios legítimos como MetaMask y Coinbase.

SEGURIDAD CRIPTOINVESTIGACIONES BLOCKCHAIN

J.M.G

7/3/20252 min read

purple and pink light illustration
purple and pink light illustration

Investigadores de ciberseguridad han identificado una amplia operación criminal que utiliza más de 40 extensiones fraudulentas en el navegador Firefox, diseñadas para robar credenciales de billeteras de criptomonedas a los usuarios.

En un informe publicado el miércoles, la firma Koi Security alertó sobre este esquema sofisticado, en el que se distribuyen extensiones maliciosas que se hacen pasar por aplicaciones legítimas de plataformas cripto populares.

Entre las herramientas suplantadas se encuentran servicios reconocidos como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox. Tras su instalación, estas extensiones recopilan en secreto información confidencial de las billeteras, dejando expuestos los activos digitales de los usuarios al robo.

“El ataque sigue en curso y muy activo, con algunas extensiones aún disponibles en línea”, señala el informe. “Podemos confirmar que la campaña ha estado activa al menos desde abril de 2025. Se subieron nuevas extensiones maliciosas a la tienda de complementos de Firefox tan reciente como la semana pasada. La naturaleza continua de estas cargas sugiere que la operación es persistente, evolutiva y bien organizada”.

Engaño con apariencia legítima

Los actores maliciosos detrás de estas extensiones han implementado estrategias de manipulación de confianza, incluyendo calificaciones falsas y reseñas positivas simuladas. Muchas de las extensiones afectadas aparecían con cientos de valoraciones de cinco estrellas, diseñadas para engañar a los usuarios desprevenidos.

Además, Koi Security identificó indicios que vinculan la campaña con actores de habla rusa. Entre las evidencias destacan comentarios en código escritos en ruso dentro de las extensiones, así como metadatos de archivos PDF alojados en los servidores de comando y control utilizados en la operación.

“Aunque no son pruebas concluyentes, estos artefactos sugieren que el grupo detrás de la campaña podría ser de origen ruso o ruso-parlante”, indica el informe.

Descargo de responsabilidad

Este artículo de noticias tiene como objetivo ofrecer información precisa y actualizada. Sin embargo, no se debe considerar como asesoramiento financiero, legal o profesional. Se recomienda a los lectores verificar la información de manera independiente y consultar con expertos antes de tomar cualquier decisión basada en el contenido proporcionado.

Tu ventana al mundo de las criptomonedas

Disclaimer

CONTACTO

© 2024. All rights reserved.

Privacidad

Terminos de Uso

Política de cookies

Anunciate

Consultas formacion

Contacta con nosotros

POLíTICAS

Política de publicidad

CONóCENOS

Quienes somos