A loja oficial de extensões para o Firefox tornou-se um campo minado para os entusiastas de criptomoedas. Mais de 40 extensões fraudulentas estão a fazer-se passar por carteiras digitais (wallets) de serviços populares como a Coinbase, MetaMask, Trust Wallet e Phantom, com o único objetivo de roubar credenciais e esvaziar os fundos dos utilizadores.
A descoberta foi feita por investigadores da empresa de segurança Koi Security. As evidências apontam para um grupo de cibercriminosos de língua russa como os responsáveis por esta campanha maliciosa.
Como funciona este esquema engenhoso?
Os atacantes não criaram as extensões de raiz. Em vez disso, utilizaram clones de versões de código aberto das carteiras legítimas e injetaram código malicioso. Este código está programado para monitorizar a atividade do utilizador, especificamente eventos de "clique" e a introdução de texto.
O alvo principal são as frases de recuperação (também conhecidas como "seed phrases" ou frases mnemónicas). Estas frases, compostas por várias palavras, funcionam como uma chave mestra que permite recuperar ou aceder a uma carteira de criptomoedas em qualquer dispositivo. O código malicioso identifica e filtra especificamente as sequências de texto com mais de 30 caracteres — um forte indicador de que se trata de uma frase de recuperação — e envia-as de imediato para servidores controlados pelos atacantes.
Para garantir que a vítima não se apercebe de nada, os programadores foram astutos ao ponto de esconderem quaisquer caixas de diálogo de erro, definindo a sua opacidade para zero, tornando-as invisíveis. Uma vez que os atacantes obtenham a frase de recuperação, podem roubar todos os ativos digitais da carteira, surgindo a transação como legítima e tornando-a irreversível.
A escala do ataque e os sinais de alerta
Esta campanha está ativa, pelo menos, desde abril, com novas extensões falsas a serem adicionadas constantemente à loja do Firefox. Segundo os investigadores, algumas das entradas maliciosas foram adicionadas na semana passada.
Para enganar os utilizadores e criar uma falsa sensação de confiança, os criminosos utilizam os logótipos reais das marcas que imitam e recorrem a centenas de avaliações falsas de cinco estrelas. No entanto, um olhar mais atento revela também várias avaliações de uma estrela, publicadas por utilizadores que, muito provavelmente, já foram vítimas do esquema e perderam as suas criptomoedas. Em muitos casos, o número de avaliações ultrapassa em muito o número de instalações, um claro sinal de fraude.
A resposta da Mozilla e o que fazer
A Mozilla, a organização por trás do Firefox, já desenvolveu um sistema de deteção precoce para este tipo de fraudes. O sistema baseia-se em indicadores automáticos para avaliar o nível de risco de uma extensão. Se um determinado limite for atingido, a extensão é enviada para revisão humana e bloqueada se for considerada maliciosa.
Contudo, apesar dos esforços, o sistema não é infalível. A Koi Security informou que, mesmo após ter reportado as suas descobertas através da ferramenta oficial da loja do Firefox, as extensões falsas continuavam disponíveis no momento da publicação do seu relatório. Este cenário sublinha a necessidade de os utilizadores se manterem extremamente vigilantes ao instalar qualquer extensão relacionada com a gestão de criptoativos.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech