Desde abril, usuários do Firefox têm sido pegos em uma sofisticada rede de phishing que rouba credenciais de proprietários de carteiras de criptomoedas desavisados. A empresa de segurança cibernética, Koi Security, descobriu uma campanha abrangente envolvendo mais de 40 extensões maliciosas hospedadas na loja oficial de complementos.
Esses impostores foram criados para se passar por carteiras conhecidas — incluindo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr e MyMonero — de forma tão convincente que até mesmo usuários experientes poderiam ser enganados.
Essas extensões falsas operavam silenciosamente nas sombras, coletando credenciais de carteira e frases-semente no momento em que os usuários interagiam com os sites alvo. Um insight técnico revela que elas monitoravam eventos do navegador, identificando entradas com mais de 30 caracteres — sinais clássicos de chaves privadas ou sementes mnemônicas. Essas credenciais eram então carregadas em servidores controlados pelo invasor sem qualquer indicação visível ao usuário.
Basicamente, os usuários acreditariam estar interagindo com uma carteira legítima, sem saber que cada tecla digitada estava sendo registrada e transmitida em tempo real.
O que é particularmente preocupante é como os invasores manipularam a dinâmica de confiança. Eles reproduziram imagens oficiais da marca, nomes de produtos e designs de interface de usuário exatos de ferramentas de carteira autênticas para evitar suspeitas. Eles aumentaram ainda mais a credibilidade com centenas de avaliações falsas de cinco estrelas — excedendo em muito o número de downloads esperado — que amplificaram a prova social e obscureceram os sinais de alerta. É um caso clássico de: clonar a base de código, injetar payloads maliciosos, publicá-los na loja e deixar o ecossistema examiná-los superficialmente.
Apesar dos esforços da Mozilla para policiar extensões suspeitas, incluindo mecanismos de revisão automatizados e manuais, muitos impostores conseguiram passar — alguns permanecendo até a semana passada. A Mozilla informou ao que está removendo, mas a disputa continua.
A atribuição ainda é provisória, mas as pistas apontam para um grupo de língua russa — comentários no código e metadados em arquivos rastreados para esta campanha continham marcadores de idioma russo. Embora isso não identifique um grupo específico, alinha-se com os estilos observados em outras operações de malware de origem do Leste Europeu.
Esses ataques focados em phishing representam uma tendência crescente em ameaças direcionadas a criptomoedas. Extensões de navegador estão rapidamente se tornando vetores preferenciais, funcionando como ataques silenciosos à cadeia de suprimentos — uma vez que uma frase-semente é capturada, o roubo é irreversível em sistemas blockchain. A vulnerabilidade permanece mesmo que os usuários não tenham baixado nenhum aplicativo malicioso. Uma instalação inocente pode ser suficiente para um comprometimento completo.
As consequências são substanciais. Como muitos investidores em criptomoedas sabem, entregar sua frase-semente é efetivamente o equivalente digital a entregar as chaves do seu cofre. O malware coleta chaves privadas, credenciais de carteira e potencialmente outros dados, como endereço IP ou histórico do navegador — tudo o que um invasor precisa para esvaziar sua conta.
Esta campanha é apenas uma frente de uma tendência maior. A pesquisa destaca como os golpes estão se proliferando em diferentes vetores. Um cliente foi atingido por carteiras frias falsas no TikTok que continham sementes duplicadas criadas por invasores — um prejuízo de US$6 a 7 milhões no início deste ano.
O aumento repentino de extensões falsas de carteira no ecossistema, mesmo após anos de paz, prova que nenhuma plataforma está imune. Dispositivos e navegadores que se supõe serem offline ou ferramentas de vitrine tornaram-se alvos principais.
À medida que os cibercriminosos continuam evoluindo — desenvolvendo novas técnicas para interceptar chaves privadas antes mesmo que os usuários percebam que estão em risco — a primeira linha de defesa começa com um comportamento cauteloso: verificar URLs, verificar os editores e questionar as avaliações positivas.
Se você depende de extensões de carteira para navegadores, trate cada nova instalação não como uma conveniência, mas como uma decisão que pode custar tudo. Vigilância, práticas seguras e evitar a confiança desnecessária em complementos de navegador não são sugestões, são defesas essenciais contra uma ameaça cibernética invisível, mas profundamente perigosa.
