Se Você Tem Cripto e Usa Firefox, Hackers Estão Alvejando Você

A empresa de cibersegurança Koi Security descobriu uma campanha maliciosa em larga escala que visa utilizadores de criptomoedas através de extensões falsas do Firefox.

A campanha envolve mais de 40 extensões que se fazem passar por ferramentas de carteira de criptomoedas amplamente utilizadas.

Isto inclui Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet, e Filfox. Uma vez instaladas, estas extensões roubam silenciosamente as credenciais das carteiras e exfiltram-nas para servidores controlados pelos atacantes, colocando os ativos dos utilizadores em risco imediato.

Utilizadores de Criptomoedas em Risco

No seu último post, a Koi Security revelou que a campanha está ativa desde pelo menos abril de 2025. Na verdade, novos uploads fraudulentos apareceram na loja de complementos da Mozilla tão recentemente quanto na semana passada, o que indicou que a operação é contínua, adaptativa e persistente.

Estas extensões transmitem os endereços IP externos das vítimas durante a inicialização, provavelmente para rastreamento ou direcionamento, enquanto extraem segredos de carteiras diretamente de sites alvo. Ao copiar classificações, avaliações e marcas, os atacantes fazem com que suas extensões pareçam confiáveis, o que acaba levando mais utilizadores a baixá-las.

Muitas das extensões falsas tinham centenas de avaliações positivas falsas, superando sua base de usuários real, o que lhes permitia parecer amplamente adotadas e respeitáveis dentro do ecossistema de Complementos da Mozilla.

Em vários casos, descobriu-se que os atacantes tinham clonado extensões de carteira de código aberto reais e incorporado lógica maliciosa, mantendo a funcionalidade esperada. Isso foi feito para evitar a detecção e garantir uma experiência de usuário sem interrupções, uma tática que permitiu a continuação do roubo de credenciais sem levantar suspeitas.

A investigação da Koi Security rastreou a infraestrutura compartilhada da campanha e as táticas, técnicas e procedimentos (TTPs) através das extensões e revelou uma operação coordenada focada na coleta de credenciais e no rastreamento de usuários dentro do ecossistema cripto. Foi recomendado que os usuários do Firefox revissem as extensões instaladas imediatamente, desinstalassem ferramentas suspeitas e rotacionassem as credenciais da carteira sempre que possível.

A empresa também afirmou que está colaborando ativamente com a Mozilla para remover extensões maliciosas identificadas e para monitorar novos uploads vinculados a esta campanha.

Pistas Russas no Código da Campanha

Evidências sugerem que um grupo de ameaça de língua russa pode estar por trás da campanha. A Koi Security afirmou ter encontrado notas em língua russa escondidas no código da extensão e metadados de um PDF em um servidor de controle mostrando texto em russo.

Estas pistas não são provas finais, mas apontam para um possível ator de língua russa a conduzir a operação.

O relatório mais recente surge meses depois de um potencial esquema de phishing em criptomoeda ligado à Rússia, que usava links falsos de reuniões no Zoom para roubar milhões, ter sido detetado pela SlowMist. A empresa de segurança em blockchain rastreou a atividade do malware até um servidor na Holanda, mas encontrou scripts em língua russa nas ferramentas dos atacantes, o que indicava possíveis operativos de língua russa. Os atacantes esvaziaram carteiras e converteram ativos roubados em ETH em várias bolsas.