Más de cuarenta extensiones fraudulentas para el navegador Mozilla Firefox se han vinculada a una campaña de malware destinada a sustraer criptomonedas, según un informe publicado por la firma de ciberseguridad Koi Security. La operación, activa al menos desde abril, distribuye complementos que suplantan la apariencia de carteras tan conocidas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, MyMonero o Bitget.
Una vez instaladas, las extensiones maliciosas vinculadas a Firefox capturan las credenciales de los monederos directamente desde los sitios web que visita el usuario y las envían a un servidor controlado por los atacantes. Koi Security destaca que la campaña sigue activa y que se han detectado nuevas subidas de extensiones incluso la semana pasada.
Los responsables del ataque se aprovechan de la confianza que generan valoraciones y reseñas falsas: algunas de las extensiones fraudulentas acumulan centenares de comentarios de cinco estrellas para parecer legítimas. Además, utilizan nombres, logotipos y, en ocasiones, el código fuente de los complementos oficiales, añadiendo su propio código malicioso para pasar desapercibidos mientras mantienen la misma experiencia de usuario.
Koi Security advierte de que la combinación de identidad visual clonada y opiniones falsas logra que muchos usuarios bajen la guardia, por lo que recomiendan verificar siempre la autenticidad de las extensiones antes de instalarlas y mantener actualizado el software de seguridad para detectar posibles amenazas.
