Los especialistas de Koi Security han descubierto una sofisticada campaña de cibercrimen denominada GreedyBear, responsable del robo de más de 1 millón de dólares en criptomonedas a través de 150 extensiones fraudulentas distribuidas en el ecosistema de Mozilla Firefox. Esta operación representa uno de los ataques más elaborados contra usuarios de carteras digitales registrados en 2024.
Estrategia de Infiltración: Del Software Legítimo al Malware
La táctica empleada por los ciberdelincuentes demuestra un nivel de sofisticación preocupante. Inicialmente, las extensiones se publicaban en la tienda oficial de Mozilla completamente libres de código malicioso, permitiéndoles superar los controles automatizados de seguridad y acumular reseñas positivas de usuarios desprevenidos.
Una vez establecida la confianza, los atacantes ejecutaban la segunda fase: transformación completa del branding y la funcionalidad. Las extensiones adoptaban nombres e iconografías idénticas a carteras populares como MetaMask, TronLink, Exodus y Rabby Wallet, mientras incorporaban código malicioso para el robo de credenciales sensibles.
Análisis Técnico del Payload Malicioso
El malware integrado funcionaba como un keylogger avanzado, capturando meticulosamente cada pulsación de teclado en formularios web y ventanas emergentes. Su objetivo principal: interceptar frases de recuperación (seed phrases) y contraseñas de acceso a carteras de criptomonedas.
Además del registro de teclas, el software malicioso recopilaba direcciones IP de las víctimas, proporcionando a los atacantes información geográfica valiosa para futuras operaciones dirigidas. Todos los datos capturados se transmitían inmediatamente a servidores bajo control de los criminales.
Infraestructura Criminal Extendida
La investigación reveló que GreedyBear operaba una red criminal que trascendía las extensiones de Firefox. Los analistas identificaron docenas de sitios web en idioma ruso distribuyendo software pirata infectado con variantes del mismo malware.
Los atacantes también desarrollaron réplicas fraudulentas de sitios oficiales de Trezor y Jupiter Wallet, junto con servicios falsos de reparación de hardware wallets. Toda esta infraestructura convergía hacia un servidor de comando y control ubicado en la dirección IP 185.208.156[.]66.
Integración de Inteligencia Artificial
Un aspecto particularmente alarmante de esta campaña es la evidencia del uso de tecnologías de IA para optimizar las operaciones criminales. Esta integración permite a los atacantes escalar sus actividades más rápidamente, diversificar sus métodos de ataque y evadir sistemas de detección con mayor eficacia.
Expansión Hacia el Ecosistema Chrome
Los investigadores han identificado indicios de que la operación se está extendiendo hacia Chrome Web Store. Ya se ha detectado una extensión sospechosa llamada «Filecoin Wallet» que emplea patrones de comportamiento similares y se comunica con la misma infraestructura de comando utilizada en los ataques contra Firefox.
Respuesta de Mozilla y Medidas Preventivas
Tras recibir el reporte de Koi Security, Mozilla procedió inmediatamente a eliminar todas las extensiones maliciosas identificadas. En junio de 2024, la compañía implementó un sistema de detección temprana que genera perfiles de riesgo para extensiones de carteras criptográficas, alertando automáticamente a los moderadores sobre amenazas potenciales.
El caso GreedyBear subraya la evolución constante de las amenazas en el espacio criptográfico y la necesidad crítica de verificar la autenticidad de las extensiones antes de su instalación. Los usuarios deben descargar carteras digitales exclusivamente desde los sitios web oficiales de los desarrolladores y auditar regularmente sus extensiones instaladas para detectar actividad sospechosa. La implementación de una estrategia integral de seguridad digital constituye la línea de defensa más efectiva contra estas sofisticadas campañas de cibercrimen.