Puntos Clave de la Noticia
- Más de 40 extensiones maliciosas de Firefox, denominadas «FoxyWallet», imitaban a MetaMask, Coinbase Wallet, Trust Wallet y otras en la tienda de Mozilla, extrayendo frases semilla y claves privadas una vez instaladas.
- Los atacantes utilizaron calificaciones falsas de cinco estrellas y modificaron constantemente los ID de las extensiones, inyectando scripts ocultos y cargadores de código remotos para evadir la detección y robar credenciales.
- Para evitar la pérdida instantánea de fondos, los usuarios deben eliminar los complementos no oficiales de las wallets, rotar o migrar a nuevas wallets, adoptar el almacenamiento de claves de hardware y presionar a Mozilla Firefox para que revise las extensiones con mayor rigor.
Los investigadores de seguridad de Koi Security han revelado una extensa operación de phishing a la que han denominado «FoxyWallet». Al menos 40 extensiones dañinas para Firefox se hacían pasar sigilosamente por conocidas wallets de criptomonedas, como MetaMask, Coinbase Wallet, Trust Wallet y Exodus.
Cada complemento de Firefox prometía una integración perfecta con el servicio que lleva su nombre, solo para robar frases semilla y claves privadas una vez que los usuarios hacían clic en «Instalar».
El análisis a fondo de Koi reveló que muchos de estos impostores estaban activos en la tienda oficial de complementos de Mozilla Firefox, aprovechándose de un número incalculable de usuarios de criptomonedas desprevenidos.
Sofisticadas técnicas de suplantación de identidad
Estas extensiones de Firefox no solo se basaban en iconos robados y nombres de marca. También utilizaban falsas calificaciones de cinco estrellas y excelentes reseñas, algunas de cientos, para crear en los usuarios una falsa sensación de seguridad. La investigación de KOI confirma que la campaña lleva activa desde abril de 2025, con nuevas variantes que aparecieron la semana pasada.
Tras bastidores, los actores de amenazas modifican continuamente los metadatos, intercambiando los ID de las extensiones y modificando los comentarios del código, algunos en ruso, para evadir la detección automática y prolongar su operación.
Dentro del mecanismo de robo de credenciales
Una vez instalado, cada clon de FoxyWallet inyecta un script de contenido oculto en cada pestaña del navegador. El script detecta las interacciones de la wallet, las entradas de contraseña, las exportaciones de cuentas y las solicitudes de firma, y reenvía silenciosamente información confidencial a servidores remotos de comando y control.
El análisis de Koi Security descubrió un cargador de código remoto, lo que significa que los atacantes podrían implementar actualizaciones ocultas para ampliar la funcionalidad o atacar nuevas interfaces del monedero. Este diseño modular garantiza la agilidad de la campaña, eludiendo el análisis estático estándar y engañando incluso a los usuarios más vigilantes.
Impacto en el usuario y recomendaciones de seguridad
Las víctimas de esta estafa se arriesgan a perder todo su saldo de criptomonedas en cuestión de minutos. Para protegerse de FoxyWallet y sus similares, las empresas de seguridad instan a los usuarios a auditar las extensiones instaladas inmediatamente y a eliminar cualquier herramienta de wallet que no se haya descargado directamente de los sitios web oficiales del proyecto.
Los expertos también recomiendan migrar fondos a nuevas wallets, rotar las frases semilla y aprovechar los dispositivos de hardware para el almacenamiento de claves privadas. En general, Koi presiona a Mozilla Firefox para que refuerce los procesos de revisión de extensiones, detectando patrones de revisión sospechosos y bloqueando los cargadores de código remoto.
