O malware direcionado a usuários de criptomoeda aumentou acentuadamente no último ano. Atores maliciosos agora se concentram em ferramentas baseadas em navegador, sabendo que elas geralmente armazenam dados confidenciais de carteira e chaves privadas.
As extensões do navegador se tornaram uma superfície de ataque importante. Muitas pessoas instalam extensões sem uma segunda olhada, dando aos invasores uma linha direta para credenciais e atividades.
Extensões de carteira falsas, sites de phishing e malware de roubo de informações estão sendo implantados juntos. Tudo isso sugere uma mudança mais ampla em direção a ataques multivetoriais destinados a drenar criptoativos.
Uma dessas campanhas foi recentemente descoberta, envolvendo extensões de navegador maliciosas do Firefox e malware usado para comprometer usuários e roubar mais de US$ 1 milhão em criptomoedas.
GreedyBear: Um Assalto Multifacetado a Carteiras de Criptomoedas


A Koi Security investigou um ataque coordenado chamado GreedyBear, envolvendo mais de 150 extensões maliciosas do Firefox projetadas para se passar por carteiras de criptomoedas e roubar silenciosamente credenciais de usuários e ativos digitais.
A campanha operou em três métodos de ataque: extensões de navegador maliciosas, sites de phishing e cargas úteis de malware para desktop. Todos os três vetores trabalharam em paralelo para maximizar o sucesso e evitar a detecção.
As extensões se passavam por carteiras legítimas como MetaMask e Exodus. Uma vez instalados, eles registraram entradas confidenciais, extraíram frases de carteira e capturaram endereços IP durante a interação do usuário.
Todas as extensões maliciosas e o malware se comunicavam com um único servidor de comando e controle (C2). A Koi Security rastreou essa atividade até o endereço IP 185.208.156.66, que atuou como o hub central para coleta de dados e controle dos invasores.
Os pesquisadores da Koi Security também alertam que o mesmo grupo está se preparando para atacar a Chrome Web Store usando as mesmas táticas. Uma onda de extensões de carteira falsas pode ser lançada em breve, se não for interrompida.
Tuval Admoni, pesquisador de segurança da Koi Security e ex-analista cibernético e líder de projeto na Unidade 8200 da IDF, afirmou que:
Esta não é uma tendência passageira - é o novo normal. À medida que os invasores se armam com IA cada vez mais poderosa, os defensores devem responder com ferramentas de segurança e inteligência igualmente avançadas. A corrida armamentista já começou e as soluções legadas não serão suficientes.