1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


Firefox antigo logo

Uma nova e perigosa campanha maliciosa, apelidada de ‘GreedyBear’, conseguiu infiltrar-se na loja de extensões da Mozilla, visando os utilizadores do Firefox. Através de 150 extensões fraudulentas, os cibercriminosos já terão roubado um valor estimado em 1 milhão de dólares a vítimas desprevenidas, fazendo-se passar por carteiras de criptomoedas.

A descoberta foi documentada pela empresa de segurança Koi Security, que detalhou o método de ataque e a sua impressionante escala, que parece ter sido impulsionada por ferramentas de Inteligência Artificial.

O método engenhoso para enganar as vítimas e a Mozilla

A estratégia dos atacantes é particularmente engenhosa. As extensões maliciosas fazem-se passar por carteiras de criptomoedas de plataformas conhecidas como MetaMask, TronLink e Rabby. Para contornar os sistemas de segurança da Mozilla, as extensões são inicialmente submetidas numa versão ‘limpa’ e inofensiva.

Após serem aprovadas e acumularem várias críticas positivas falsas para ganhar a confiança dos utilizadores, os seus criadores atualizam-nas, injetando o código malicioso. Este código funciona como um keylogger, capturando as credenciais das carteiras diretamente dos campos de preenchimento na interface da extensão e enviando-as para um servidor controlado pelos atacantes. Adicionalmente, o endereço IP da vítima é também transmitido, provavelmente para fins de rastreamento.

exemplo de falsa extensão do Firefox

Uma operação em grande escala com a ajuda de IA

A campanha vai muito além das extensões para o Firefox. Segundo a Koi Security, os atacantes mantêm dezenas de sites de software pirata, falados em russo, que distribuem cerca de 500 executáveis de malware distintos, incluindo trojans genéricos, info-stealers como o LummaStealer e até ransomware.

Todos estes sites, juntamente com páginas que imitam a Trezor, Jupiter Wallet e falsos serviços de reparação de carteiras, estão ligados ao mesmo endereço de IP (185.208.156.66), que serve como centro de comando e controlo para a operação GreedyBear.

Um dos aspetos mais preocupantes, destacado pelo relatório, é o uso de Inteligência Artificial. A análise ao código da campanha revela artefactos gerados por IA, o que permite aos criminosos escalar as suas operações, diversificar os ataques e contornar a deteção de forma muito mais rápida e eficaz.

Expansão à vista e como se pode proteger

A Mozilla já removeu as 150 extensões fraudulentas da sua loja. No entanto, o facto de terem contornado o sistema de deteção de crypto-drainers implementado em junho de 2025 é um sinal de alerta.

A ameaça está longe de terminar. A Koi Security reporta ter encontrado sinais de que os operadores da GreedyBear estão a preparar a sua expansão para a Chrome Web Store, tendo já sido detetada uma extensão maliciosa chamada “Filecoin Wallet” que utiliza a mesma lógica de roubo de dados.

Para minimizar o risco de se tornar uma vítima, siga estas recomendações:

  • Leia sempre várias análises dos utilizadores antes de instalar qualquer extensão.

  • Verifique os detalhes do editor e a sua reputação.

  • A forma mais segura é aceder aos sites oficiais dos projetos de criptomoedas e usar as ligações diretas que eles fornecem para as extensões legítimas nas lojas online.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?



Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech