Uma campanha de malware está utilizando extensões maliciosas do Firefox que imitam carteiras legítimas de criptomoedas para roubar fundos de usuários desavisados, segundo um novo estudo.A Koi Security descobriu que mais de 40 extensões maliciosas estavam se passando por carteiras reais como parte da campanha “FoxyWallet”, incluindo Coinbase Wallet, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr e MyMonero.O ataque utiliza um código malicioso para extrair segredos das carteiras e enviá-los para servidores controlados pelos criminosos. O código verifica entradas com mais de 30 caracteres para filtrar chaves e frases-semente plausíveis, antes de transmitir os dados aos invasores. O endereço IP externo da vítima também é enviado, permitindo rastreamento ou ataques adicionais.A Koi Security explicou que os criadores do FoxyWallet “aproveitaram o fato de que as extensões oficiais são de código aberto”, acrescentando que “eles clonaram os repositórios originais e inseriram sua própria lógica maliciosa, criando extensões que se comportavam como esperado enquanto roubavam dados sensíveis em segredo”.Uma análise mais aprofundada dessas extensões sugere a atuação de um agente de ameaça de língua russa, com comentários em russo encontrados no código, bem como metadados em um arquivo PDF localizado no servidor de comando e controle.A campanha parece estar ativa desde pelo menos abril, com novas extensões maliciosas adicionadas na semana passada, segundo a Koi Security. Algumas extensões falsas ainda estavam disponíveis na loja de complementos do Firefox até ontem, apesar da empresa já ter reportado suas descobertas à Mozilla por meio da ferramenta oficial de denúncias.A criadora do Firefox, Mozilla, divulgou um comunicado na quinta-feira afirmando que está “ciente das tentativas de explorar o ecossistema de complementos do Firefox usando extensões maliciosas para roubo de criptomoedas”, acrescentando que “por meio de melhorias em ferramentas e processos, tomamos medidas para identificar e remover rapidamente tais complementos”.A empresa acrescentou que muitas das extensões maliciosas destacadas no relatório da Koi Security já haviam sido removidas por sua equipe antes da publicação, e que está “no processo de revisar os poucos complementos restantes identificados, como parte do nosso compromisso contínuo com a proteção dos usuários”.Um “jogo de gato e rato”A Mozilla apontou para uma publicação recente em seu blog sobre os esforços para enfrentar a ameaça de extensões que roubam criptomoedas, na qual o gerente de operações de complementos, Andreas Wagner, observou que a empresa descobriu “centenas” de carteiras fraudulentas nos últimos anos. “É um constante jogo de gato e rato”, disse Wagner, à medida que desenvolvedores de malware tentam “driblar nossos métodos de detecção”.Para evitar ser vítima do FoxyWallet ou de golpes semelhantes, recomenda-se que os usuários instalem extensões apenas de desenvolvedores verificados, tratem extensões como softwares completos, utilizem listas de permissões para restringir a instalação apenas a extensões validadas e implementem monitoramento contínuo, e não apenas varreduras pontuais.* Traduzido e editado com autorização do Decrypt.Entre no grupo do Portal do Bitcoin no Telegram e receba as principais notícias cripto em tempo real!O post Cuidado: Falsas carteiras de criptomoedas inundam Firefox apareceu primeiro em Portal do Bitcoin.