Ciberseguridad 360 | Extensiones maliciosas en Firefox roban activos cripto

Una campa�a recientemente descubierta, denominada GreedyBear, ha aprovechado m�s de 150 extensiones maliciosas del mercado de Firefox dise�adas para suplantar carteras de criptomonedas populares y robar m�s de un mill�n de d�lares en activos digitales.

Los complementos para navegadores publicados se hacen pasar por MetaMask, TronLink, Exodus y Rabby Wallet, entre otros, seg�n ha declarado Tuval Admoni, investigador de Koi Security.

Lo que hace que esta actividad sea notable es el uso por parte del actor malicioso de una t�cnica que la empresa de ciberseguridad denomina "Extension Hollowing" para eludir las medidas de seguridad implementadas por Mozilla y aprovecharse de la confianza de los usuarios. Cabe destacar que algunos aspectos de la campa�a fueron documentados por primera vez por el investigador de seguridad Lukasz Olejnik la semana pasada.

"En lugar de intentar colar extensiones maliciosas tras las revisiones iniciales, primero crean carteras de extensiones que parecen leg�timas y luego las utilizan como arma cuando nadie est� mirando", afirm� Admoni en un informe publicado el jueves.

Para lograrlo, los atacantes primero crean una cuenta de editor en el mercado, suben extensiones inocuas sin funcionalidad real para eludir las revisiones iniciales, publican rese�as positivas falsas para crear una ilusi�n de credibilidad y modifican su interior con capacidades maliciosas.

Las extensiones falsas est�n dise�adas para capturar las credenciales de las carteras electr�nicas introducidas por usuarios desprevenidos y filtrarlas a un servidor controlado por los atacantes. Tambi�n recopilan las direcciones IP de las v�ctimas con fines probablemente relacionados con el rastreo.

Se considera que esta campa�a es una extensi�n de una versi�n anterior llamada Foxy Wallet, en la que los autores de la amenaza publicaron al menos 40 extensiones maliciosas para el navegador Mozilla Firefox con objetivos similares. El �ltimo aumento en el n�mero de extensiones indica la creciente magnitud de la operaci�n.

Los ataques de drenaje de criptomonedas mediante carteras falsas se ven reforzados por campa�as que distribuyen ejecutables maliciosos a trav�s de diversos sitios web rusos que venden software pirateado y crackeado, lo que conduce al despliegue de programas para robar informaci�n e incluso ransomware.

Los actores de GreedyBear tambi�n han creado sitios web fraudulentos que se hacen pasar por productos y servicios de criptomonedas, como herramientas de reparaci�n de carteras, con el fin de enga�ar a los usuarios para que revelen las credenciales de sus carteras o los datos de pago, lo que da lugar al robo de credenciales y al fraude financiero.

Koi Security afirm� que pudo vincular los tres tipos de ataques a un �nico actor malicioso bas�ndose en el hecho de que todos los dominios utilizados en estas actividades apuntan a una �nica direcci�n IP: 185.208.156[.]66, que act�a como servidor de comando y control (C2) para la recopilaci�n y gesti�n de datos.

Hay pruebas que sugieren que los ataques relacionados con las extensiones se est�n diversificando para atacar otros mercados de navegadores. Esto se basa en el descubrimiento de una extensi�n de Google Chrome llamada Filecoin Wallet que ha utilizado el mismo servidor C2 y la misma l�gica subyacente para robar credenciales.

Para empeorar las cosas, un an�lisis de los artefactos ha revelado indicios de que pueden haber sido creados utilizando herramientas basadas en inteligencia artificial (IA). Esto pone de relieve c�mo los actores maliciosos est�n utilizando cada vez m�s los sistemas de IA para llevar a cabo ataques a gran escala y con gran rapidez.

"Esta variedad indica que el grupo no est� utilizando un �nico conjunto de herramientas, sino que opera una amplia red de distribuci�n de malware, capaz de cambiar de t�ctica seg�n sea necesario", afirma Admoni.

"La campa�a ha evolucionado y ahora la diferencia radica en la escala y el alcance: se ha convertido en una campa�a multiplataforma de robo de credenciales y activos, respaldada por cientos de muestras de malware e infraestructura fraudulenta".

Fuente: thehackernews.com