A empresa de cibersegurança Koi Security descobriu uma campanha maliciosa em grande escala envolvendo mais de 40 extensões falsas do Firefox projetadas para roubar credenciais de carteiras de cripto de usuários desavisados.
As extensões maliciosas imitam ferramentas legítimas de carteira de plataformas bem conhecidas, incluindo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.
De acordo com a Koi Security, a campanha está ativa desde pelo menos abril de 2025, com novas extensões maliciosas carregadas na loja de complementos do Firefox tão recentemente quanto na semana passada.
As extensões extraem credenciais da carteira diretamente de sites-alvo e as transmitem para servidores remotos controlados pelos atacantes.
Notavelmente, a OKX já havia alertado os usuários em janeiro sobre extensões falsas da Carteira OKX para Firefox, confirmando que a exchange não havia lançado nenhum plugin para Firefox.
A exchange apresentou queixas aos oficiais do Firefox, solicitando a remoção das extensões fraudulentas do navegador, enquanto aconselhava os usuários a transferirem seus ativos da carteira imediatamente se tivessem instalado plugins maliciosos.
Táticas Sofisticadas de Construção de Confiança Enganam Milhares de Usuários
A campanha maliciosa empregou mecanismos sofisticados de construção de confiança para aumentar as taxas de instalação e evitar detecção imediata.
Muitas extensões apresentavam centenas de falsas avaliações de 5 estrelas que superavam em muito suas bases reais de usuários, criando a aparência de adoção generalizada e feedback positivo da comunidade.
Os atores de ameaça cuidadosamente imitaram a marca de ferramentas de carteira legítimas, usando nomes e logotipos idênticos aos serviços reais que estavam imitando.
Essa semelhança visual aumentou a probabilidade de instalações acidentais por usuários em busca de extensões oficiais de carteira de criptomoedas.
Os atacantes exploraram a natureza de código aberto das extensões legítimas de carteira clonando bases de código autênticas e inserindo lógica maliciosa.
Essa abordagem permitiu que mantivessem experiências de usuário esperadas enquanto secretamente exfiltravam dados sensíveis da carteira em segundo plano.
Essa estratégia reduziu o tempo de desenvolvimento, aumentando a probabilidade de que ferramentas de segurança perdessem modificações maliciosas em um código, de outra forma, legítimo.
Algumas extensões maliciosas permaneceram indetectadas por longos períodos devido às suas semelhanças funcionais com ferramentas legítimas de carteira.
Os usuários experimentaram a funcionalidade padrão da carteira enquanto suas credenciais eram simultaneamente transmitidas para uma infraestrutura controlada por atacantes.
Ataques de Hardware e Software se Expandem Além das Extensões do Navegador
A campanha de extensões do Firefox representa um vetor em um ecossistema em expansão de métodos de roubo de criptomoedas que visam tanto medidas de segurança de software quanto de hardware.
De acordo com um relatório recente da Cryptonew, um investidor de cripto chinês perdeu quase $7 milhões após comprar uma carteira fria falsa através do Douyin, a plataforma chinesa do TikTok.
O investidor de cripto perdeu $6,9 milhões após comprar uma carteira fria falsa no TikTok chinês, enquanto golpes sofisticados de hardware evoluem além do phishing tradicional para comprometer dispositivos de segurança confiáveis.#ColdWallet #CryptoScam #TikTokhttps://t.co/DnbI4arD8V
— Cryptonews.com (@cryptonews) 16 de junho de 2025
A armadilha de hardware sofisticada comprometeu a geração da chave privada da carteira em um nível fundamental.
Quando a vítima inicializou o dispositivo, ele gerou chaves já conhecidas pelos atacantes, criando uma falsa sensação de segurança enquanto fornecia aos criminosos acesso completo aos fundos.
Da mesma forma, a empresa de cibersegurança Moonlock recentemente alertou sobre aplicativos falsos do Ledger Live direcionados a usuários do macOS através do malware Atomic macOS Stealer.
O malware embutido em pelo menos 2.800 sites comprometidos substitui aplicativos genuínos do Ledger Live por versões falsas que coletam frases-semente através de pop-ups convincentes.
Os atacantes também estão expandindo seu alcance além de hardware e software. Ataques de phishing físico surgiram através de sistemas postais tradicionais, com golpistas se passando pela Ledger e enviando cartas falsas via USPS.
As cartas instam os usuários a “validar” suas carteiras através de códigos QR que levam a sites de phishing projetados para roubar chaves privadas.
Esta última descoberta se soma à crescente ameaça de atacantes sofisticados para a indústria de criptomoedas.
Os investidores de cripto perderam mais de $2,2 bilhões para hacks, golpes e violações de segurança apenas na primeira metade de 2025, de acordo com o relatório de segurança da CertiK.
As violações relacionadas a carteiras sozinhas representaram $1,7 bilhão em apenas 34 ataques, enquanto phishing seguiu com mais de $410 milhões roubados em 132 incidentes.
Ethereum permaneceu a blockchain mais visada, experimentando 175 eventos de segurança e mais de $1,6 bilhões em perdas.
Os investidores de criptomoedas perderam $2,2 bilhões para hacks e golpes no primeiro semestre de 2025, com $187 milhões recuperados à medida que as ameaças mudam, relatórios @CertiK.#CryptoSecurity #Cryptohacks https://t.co/5KCaVsYnbg
— Cryptonews.com (@cryptonews) 30 de junho de 2025
O maior hack ocorreu em fevereiro, quando a exchange de cripto Bybit sofreu uma violação resultando no roubo de mais de $1,5 bilhão em ETH liquidamente apostados e MegaETH.
Vulnerabilidades de código causaram $229 milhões em danos apenas em maio de 2025, representando um salto maciço de apenas $5 milhões em abril.
Ataques físicos de “wrench” contra detentores de criptomoedas aumentaram globalmente, com pelo menos 32 incidentes relatados em 2025, colocando o ano em ritmo para superar o recorde de 36 ataques de 2021.
O post 40+ Extensões Falsas de Carteira do Firefox Estão Roubando Seu Cripto, Koi Security Adverte, apareceu primeiro no Cryptonews.
