Pesquisadores da empresa de segurança Koi descobriram uma campanha em andamento espalhando extensões maliciosas de carteiras no Firefox. Os aplicativos maliciosos imitam as carteiras mais amplamente utilizadas, roubando frases privadas e deixando os usuários vulneráveis a serem drenados.
Uma campanha em andamento está espalhando extensões maliciosas, imitando algumas das carteiras de criptomoedas mais comuns no Firefox. A segurança Koi descobriu que alguns dos aplicativos foram removidos, enquanto outros ainda estavam ativos, se passando por carteiras legítimas.
A equipe de ataque SlowMist também alertou os usuários a ficarem vigilantes, pois o ataque ainda está ativo. Os aplicativos falsos estão se espalhando através da loja oficial de aplicativos do Firefox, tornando-os potencialmente mais enganosos e perigosos.
🚨Alerta TI SlowMist🚨
Uma enorme campanha maliciosa envolvendo dezenas de extensões falsas do #Firefox projetadas para roubar credenciais de carteiras de criptomoedas está em andamento. Mais de 40 extensões falsas imitando carteiras confiáveis como MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX,… pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 de julho de 2025
O ataque é relativamente simples, mas visa o tipo mais fácil de usuário, que busca acesso casual a criptomoedas. Usar um aplicativo comprometido ou inserir frases privadas em um pode resultar em perdas significativas. Os usuários já estão relatando perdas devido aos aplicativos falsos.
Os hacks e exploits aceleraram no primeiro semestre de 2025, à medida que as criptomoedas aumentaram em valor. As ameaças também vieram de hackers da RPDC infiltrando projetos, com centenas potencialmente afetados por código malicioso.
Extensões falsas do Firefox visam as carteiras mais amplamente utilizadas
A Koi interceptou aplicativos falsos para algumas das extensões de carteiras mais amplamente utilizadas, incluindo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.
Os pesquisadores descobriram mais de 40 aplicativos se passando por carteiras, com novos surgindo. Alguns das carteiras falsas ainda estão ativas em links não oficiais. De acordo com os pesquisadores, os aplicativos falsos começaram a se espalhar em abril de 2025.
As extensões extraem e enviam extensões de carteiras, alcançando um servidor controlado pelo atacante. Os aplicativos também transmitem o endereço IP do usuário para rastreamento e direcionamento posterior.
Os atacantes clonaram o código de código aberto de carteiras legítimas
O ataque foi relativamente simples, muitas vezes usando o código legítimo da carteira para projetos de código aberto como MetaMask. Os aplicativos falsos então injetaram o código malicioso para permitir que a carteira roubasse dados e credenciais.
Os aplicativos falsos de carteiras estavam ativos nas lojas de aplicativos, usando os mesmos logotipos e estilo que a carteira original. Anteriormente, carteiras falsificadas tinham como alvo projetos de nicho específicos, mas desta vez, o atacante imitou carteiras multi-ativos, amplamente utilizadas para DeFi, negociação, NFT e outras tarefas on-chain.
A análise de código concluiu que o ataque provavelmente se originou da Rússia, já que comentários de código em russo foram descobertos em alguns dos aplicativos. Metadados de um arquivo em um dos servidores de comando e controle também apontam para um atacante russo.
A Koi aconselha os usuários a instalar um filtro de lista de permissões e evitar baixar aplicativos sem verificação. Alguns dos aplicativos podem não apresentar problemas, mas atualizam posteriormente e mudam seu comportamento. Pesquisadores de segurança também aconselham contra a busca direta de aplicativos, pois os resultados podem apontar para carteiras falsas com avaliações de cinco estrelas deliberadamente inflacionadas. A melhor abordagem é usar a página oficial da carteira ou as redes sociais.
Os usuários também foram aconselhados a serem céticos ao ver um aplicativo com muitas avaliações de cinco estrelas, que foram colocadas artificialmente para fazer o aplicativo parecer estabelecido e legítimo.
DIFERENÇA CHAVE Wire: a ferramenta secreta que projetos de criptomoedas usam para garantir cobertura na mídia
