Uma nova onda de ataques cibernéticos está em ação, usando extensões maliciosas do Firefox que se disfarçam de carteiras de criptomoedas legítimas para roubar dinheiro dos usuários desprevenidos. Um estudo recente da Koi Security revelou que mais de 40 dessas extensões perigosas estão se passando por carteiras conhecidas, como Coinbase Wallet, MetaMask, Trust Wallet e outras.
Essas extensões, que parecem inofensivas à primeira vista, contêm um código malicioso capaz de extrair informações valiosas das carteiras de criptomoedas. Esse código faz uma varredura em informações inseridas de mais de 30 caracteres, buscando chaves e frases-semente, e então as envia para servidores controlados pelos criminosos. Além disso, os endereços IP das vítimas são capturados, facilitando rastreamentos e possíveis ataques futuros.
De acordo com a Koi Security, os criadores dessas extensões fraudulentas se aproveitaram do fato de que as extensões oficiais do Firefox são de código aberto. Isso significa que eles conseguiram copiar repositórios originais e adicionar suas próprias lógicas maliciosas, fazendo as extensões parecerem funcionais, enquanto furtivamente coletavam dados sensíveis.
Um aspecto interessante que surgiu durante a investigação é a possibilidade de que os responsáveis pelas ameaças sejam de língua russa. Comentários em russo foram encontrados dentro do código das extensões, além de metadados suspeitos em documentos PDF localizados nos servidores dos atacantes.
A campanha, chamada “FoxyWallet”, já parece estar ativa desde abril e, ainda essa semana, novas extensões fraudulentas foram identificadas. Curiosamente, algumas delas permaneciam acessíveis na loja de complementos do Firefox até pouco tempo atrás, mesmo com a Koi Security já tendo alertado a Mozilla sobre a situação.
Em resposta, a Mozilla reconheceu em um comunicado que está ciente das tentativas de exploração do ecossistema do Firefox. Eles ressaltaram que estão constantemente atualizando suas ferramentas e processos para identificar e remover rapidamente essas extensões problemáticas. A empresa garantiu que muitas das extensões mencionadas no relatório já haviam sido eliminadas antes mesmo de sua publicação e que estão revisando os poucos complementos restantes.
Um “jogo de gato e rato”
A Mozilla também se referiu a uma publicação recente em seu blog sobre as investigações feitas para combater a ameaça das extensões fraudulentas. O gerente de operações de complementos, Andreas Wagner, comentou que nos últimos anos a empresa descobriu “centenas” de carteiras falsas. Para ele, o cenário se assemelha a um “constante jogo de gato e rato”, já que os criadores de malware estão sempre tentando contornar os métodos de detecção da empresa.
Para não cair em armadilhas do tipo FoxyWallet ou de outros golpes semelhantes, é super importante que os usuários fiquem atentos. A principal dica é instalar extensões apenas de desenvolvedores que são confiáveis. Também vale tratar essas extensões como se fossem softwares completos e usar listas de permissões para restringir a instalação a opções verificadas. Monitorar as extensões continuamente é outra forma de se proteger, ao invés de fazer varreduras de forma esporádica.
