Campanha FoxyWallet expõe mais de 40 extensões maliciosas do Firefox direcionadas a usuários de criptomoedas

Empresa de segurança da cadeia de suprimentos de software Koi Security identificou uma campanha maliciosa em larga escala em andamento envolvendo inúmeras falsificações Firefox Extensões de navegador projetadas para capturar credenciais de carteiras de criptomoedas. Essas extensões imitam ferramentas legítimas associadas a plataformas conhecidas, incluindo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.

Uma vez instaladas, as extensões extraem secretamente informações confidenciais da carteira, representando uma ameaça significativa aos ativos dos usuários. A investigação já vinculou mais de 40 extensões distintas à mesma campanha, que permanece ativa. Algumas dessas extensões ainda estão disponíveis nos canais oficiais de distribuição. A identificação da campanha foi possível pela análise de táticas, técnicas e procedimentos (TTPs) comuns e infraestrutura compartilhada.

As evidências indicam que a operação está em andamento desde pelo menos abril de 2025, com novos uploads maliciosos para a loja de complementos do Firefox observados até a semana anterior. O aparecimento contínuo dessas extensões aponta para uma ameaça persistente e em evolução. ameaça O malware tem como alvo os usuários, coletando credenciais de carteira diretamente de sites específicos e transmitindo-as para um servidor remoto operado pelo invasor. Além disso, as extensões enviam o endereço IP externo da vítima durante a fase inicial de execução, provavelmente para fins de rastreamento ou direcionamento.

Extensões maliciosas do Firefox imitam ferramentas de carteira confiáveis ​​e aumentam avaliações para evitar detecção e aumentar instalações

Esta campanha explora sinais de confiança comuns em marketplaces de extensões de navegador — como avaliações de usuários, comentários, branding familiar e desempenho funcional — para construir credibilidade e aumentar as taxas de download. Uma estratégia notável envolveu o aumento artificial das pontuações de avaliações; muitas das extensões maliciosas featured um volume anormalmente alto de avaliações cinco estrelas, inconsistente com sua base real de usuários. Isso cria a aparência de ampla aprovação e confiabilidade, o que pode influenciar as decisões dos usuários em plataformas como a loja de complementos da Mozilla.

O invasor também replicou a identidade visual de ferramentas de carteira legítimas, incluindo nomes e logotipos exatos, dificultando a distinção entre as versões falsificadas e as autênticas. Essa abordagem aumenta a probabilidade de downloads não intencionais por usuários que buscam o serviço real. Em diversos casos, o invasor utilizou versões de código aberto de extensões oficiais, duplicando o código legítimo e integrando componentes maliciosos. Como resultado, as extensões mantiveram a funcionalidade esperada, enquanto secretavam discretamente dados confidenciais, permitindo que a campanha alcançasse impacto com um esforço de desenvolvimento relativamente mínimo e um risco inicial de detecção reduzido.

Indicadores ligam campanha maliciosa a agente de ameaças de língua russa; especialistas pedem medidas de segurança mais rígidas

Apesar defiEmbora a atribuição definitiva não tenha sido estabelecida, vários indicadores sugerem o envolvimento de um agente de ameaça de língua russa. Entre eles, estão comentários em russo identificados no código da extensão e metadados extraídos de um documento PDF hospedado em um servidor de comando e controle associado à campanha. Embora esses elementos não sejam conclusivos, eles, em conjunto, sugerem uma possível origem vinculada a um grupo de língua russa.

As melhores práticas em resposta a essa atividade incluem instalar extensões exclusivamente de fontes verificadas e manter a cautela mesmo quando as extensões têm classificações altas. As extensões de navegador devem ser tratadas como componentes completos de software, exigindo verificação adequada, controles de políticas e supervisão contínua. Recomenda-se que as organizações implementem listas de permissões de extensões, limitando as instalações a ferramentas pré-aprovadas e validadas, e adotem estratégias de monitoramento contínuo, pois as extensões podem se atualizar automaticamente e alterar o comportamento após a implantação sem o conhecimento do usuário.