Pesquisadores de segurança cibernética identificaram uma campanha sofisticada que está explorando o navegador Mozilla Firefox para atingir usuários de criptomoedas.
Mais de 40 extensões maliciosas foram detectadas com o objetivo de roubar frases-semente e chaves privadas de crypto wallets, comprometendo diretamente os ativos dos usuários.
Segundo Yuval Ronen, pesquisador da empresa de segurança Koi Security, os complementos falsos se passam por ferramentas legítimas de plataformas amplamente utilizadas.
Entre essas, Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.
Campanha estaria ativa desde abril de 2025
De acordo com os pesquisadores, a campanha maliciosa está em andamento pelo menos desde abril de 2025, e novas extensões continuam sendo publicadas na loja oficial de complementos do Firefox.
A ação demonstra um esforço contínuo dos atacantes para infiltrar-se no ecossistema de criptoativos por meio de canais aparentemente confiáveis.
Para enganar os usuários, os responsáveis pelas extensões fraudulentas utilizam táticas de manipulação de reputação, inflando artificialmente a popularidade dos complementos.
Muitas das extensões tinham centenas de avaliações 5 estrelas — número muito superior ao de instalações reais — criando uma falsa sensação de segurança e credibilidade.
👉As melhores carteiras frias de criptomoedas são, sem dúvidas, fundamentais para quem busca maior proteção na hora de armazenar seus ativos digitais.
Códigos clonados de projetos legítimos e roubo silencioso de informações
Outra estratégia adotada pelos criminosos foi copiar o código-fonte de extensões de carteira open-source.
A partir disso, os atacantes inseriram funções maliciosas capazes de extrair informações sensíveis, como chaves privadas e frases-semente, diretamente de sites acessados pelo usuário. Esses dados eram então enviados a um servidor remoto controlado pelos invasores.
Além disso, as extensões também coletavam e transmitiam os endereços IP dos usuários, permitindo aos criminosos traçar perfis de localização e rede.
Diferentemente de golpes tradicionais baseados em phishing por e-mail ou páginas falsas, essas extensões operam dentro do navegador, o que torna sua detecção muito mais difícil por ferramentas de segurança convencionais.
Ataques com ‘baixo esforço e alto impacto’ apontam para grupo de língua russa
Segundo Yuval Ronen, o ataque foi descrito como uma abordagem de ‘baixo esforço e alto impacto’, pois mantém a aparência funcional das carteiras originais, evitando que o usuário desconfie de imediato da presença de malware.
Indícios levantados pela investigação apontam para a atuação de um grupo de cibercriminosos de língua russa.
Comentários no código-fonte das extensões e metadados obtidos em arquivos PDF hospedados no servidor de comando e controle (C2) reforçam essa suspeita.
Mozilla remove extensões de crypto wallets, mas ameaça persiste
Após a denúncia, a Mozilla removeu todas as extensões identificadas, com exceção da versão fraudulenta da carteira MyMonero, que ainda estava ativa no momento da apuração.
No mês passado, a empresa anunciou a implementação de um sistema de detecção precoce para identificar e bloquear extensões de crypto wallets suspeitas antes que ganhem popularidade e coloquem usuários em risco.
Ainda assim, especialistas alertam que essas medidas não substituem os cuidados por parte dos usuários.
O recomendado é instalar extensões apenas de desenvolvedores verificados e monitorar comportamentos incomuns após a instalação, pois muitos complementos maliciosos mudam de conduta após conquistarem a confiança inicial.
Por que confiar no 99Bitcoins
O 99Bitcoins foi fundado em 2013 e sua equipe é especialista em criptomoedas desde os primórdios do Bitcoin.
de pesquisa toda semana
+100 milleitores todo mês
contribuições de especialistas
2000+projetos cripto avaliados
