La campaña de FoxyWallet expone más de 40 extensiones maliciosas de Firefox dirigidas a usuarios de criptomonedas.

Empresa de seguridad de la cadena de suministro de software Seguridad Koi Ha identificado una campaña maliciosa a gran escala en curso que involucra numerosos productos falsificados. Firefox Extensiones de navegador diseñadas para capturar credenciales de monederos de criptomonedas. Estas extensiones imitan herramientas legítimas asociadas con plataformas conocidas, como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox.

Una vez instaladas, las extensiones extraen de forma encubierta información confidencial de la billetera, lo que representa una amenaza significativa para los activos del usuario. Hasta la fecha, la investigación ha vinculado más de 40 extensiones distintas a la misma campaña, que permanece activa. Algunas de estas extensiones aún están disponibles a través de los canales de distribución oficiales. La identificación de la campaña fue posible gracias al análisis de tácticas, técnicas y procedimientos (TTP) comunes, así como de la infraestructura compartida.

La evidencia indica que la operación ha estado en marcha al menos desde abril de 2025, con nuevas cargas maliciosas en la tienda de complementos de Firefox observadas tan recientemente como la semana anterior. La aparición continua de estas extensiones apunta a un problema persistente y en evolución. amenaza El malware ataca a los usuarios extrayendo las credenciales de su billetera directamente de sitios web específicos y transmitiéndolas a un servidor remoto operado por el atacante. Además, las extensiones envían la dirección IP externa de la víctima durante la fase inicial de ejecución, probablemente con fines de rastreo o ataque.

Extensiones maliciosas de Firefox imitan herramientas de billetera confiables e inflan reseñas para evadir la detección y aumentar las instalaciones.

Esta campaña explota las señales de confianza habituales en los mercados de extensiones de navegador (como las valoraciones de los usuarios, las reseñas, la imagen de marca y el rendimiento funcional) para generar credibilidad y aumentar las tasas de descarga. Una estrategia destacada consistía en aumentar artificialmente las puntuaciones de las reseñas; muchas de las extensiones maliciosas... featured Un volumen inusualmente alto de reseñas de cinco estrellas, que no se corresponde con su base real de usuarios. Esto crea la impresión de una aprobación y fiabilidad generalizadas, lo que puede influir en las decisiones de los usuarios en plataformas como la tienda de complementos de Mozilla.

El atacante también replicó la imagen de marca de las herramientas de monedero legítimas, incluyendo nombres y logotipos exactos, lo que dificulta distinguir las versiones falsificadas de las auténticas. Este enfoque aumenta la probabilidad de descargas accidentales por parte de usuarios que buscan el servicio real. En múltiples casos, el actor utilizó versiones de código abierto de extensiones oficiales, duplicando el código legítimo e integrando componentes maliciosos. Como resultado, las extensiones conservaron la funcionalidad esperada mientras exfiltraban silenciosamente datos confidenciales, lo que permitió que la campaña tuviera impacto con un esfuerzo de desarrollo relativamente mínimo y un menor riesgo de detección inicial.

Indicadores vinculan una campaña maliciosa con un actor de amenazas de habla rusa; expertos instan a extender las medidas de seguridad más estrictas.

Aunque defiAunque no se ha establecido la atribución nitiva, varios indicadores sugieren la participación de un actor de amenazas rusoparlante. Estos incluyen comentarios en ruso identificados en el código de extensión y metadatos extraídos de un documento PDF alojado en un servidor de comando y control asociado con la campaña. Si bien estos elementos no son concluyentes, en conjunto sugieren un posible origen vinculado a un grupo rusoparlante.

Las mejores prácticas ante esta actividad incluyen instalar extensiones exclusivamente de fuentes verificadas y ser precavido incluso con altas calificaciones. Las extensiones de navegador deben considerarse componentes de software completos, lo que requiere una verificación adecuada, controles de políticas y supervisión continua. Se recomienda a las organizaciones implementar listas de extensiones permitidas, limitando las instalaciones a herramientas preaprobadas y validadas, y adoptar estrategias de monitoreo continuo, ya que las extensiones pueden actualizarse automáticamente y modificar su comportamiento después de la implementación sin que el usuario lo note.