En el último año se ha registrado un notable incremento en el malware dirigido a usuarios de criptomonedas. Los actores malintencionados han centrado sus ataques en herramientas basadas en navegadores, conscientes de que estas a menudo almacenan datos sensibles como claves privadas y credenciales.
Las extensiones de navegador se han convertido en un objetivo clave, ya que muchas personas las instalan sin dudar, proporcionando a los atacantes un acceso directo a información confidencial. La táctica incluye el uso de extensiones falsas de billeteras, sitios de phishing y malware para el robo de información, lo que sugiere un cambio hacia ataques multivectoriales para drenar activos de criptomonedas.
Un ataque reciente, denominado GreedyBear, involucró más de 150 extensiones maliciosas de Firefox diseñadas para hacerse pasar por billeteras de criptomonedas y robar credenciales digitales de forma silenciosa. Estas incursiones utilizaron extensiones fraudulentas, sitios de phishing y malware de escritorio de manera coordinada para aumentar el éxito y eludir la detección.
Inicialmente, las extensiones se presentaban como billeteras legítimas como MetaMask y Exodus, registrando entradas de datos sensibles y capturando direcciones IP durante la interacción con el usuario. Toda esta actividad se orquestaba desde un servidor de comando y control, rastreado por Koi Security a una dirección IP específica.
Los investigadores advierten que el mismo grupo podría comenzar a apuntar a la Chrome Web Store con tácticas similares, presentando una amenaza inminente si no se toman medidas preventivas. Según Tuval Admoni, investigador de seguridad, este tipo de ataques no son temporales sino una nueva normalidad, impulsada por el avance de la inteligencia artificial en manos de los atacantes, lo que exige una respuesta igualmente sofisticada por parte de los defensores.
vÃa: It’s Foss News
