La comunidad de ciberseguridad está alertando sobre la campaña de malware GreedyBear, que ha robado con éxito más de $1 millón en criptoactivos mediante un elaborado esquema que involucra cientos de extensiones de navegador maliciosas. Según investigadores de seguridad, esta operación representa uno de los ataques más sofisticados enfocados en criptomonedas hasta la fecha.
Análisis Técnico:
Los atacantes crearon más de 650 extensiones falsas para Firefox diseñadas para imitar carteras de criptomonedas legítimas como MetaMask, Phantom y Trust Wallet. Estas extensiones maliciosas se distribuyeron tanto en tiendas oficiales como en mercados de terceros, a menudo utilizando cuentas de desarrolladores falsas y valoraciones manipuladas para parecer legítimas.
Una vez instaladas, las extensiones presentaban interfaces casi idénticas a las aplicaciones genuinas, pero incluían funcionalidades ocultas que:
- Interceptaban y exfiltraban claves privadas y frases semilla
- Modificaban detalles de transacciones para desviar fondos a direcciones controladas por los atacantes
- Implementaban inyección web sofisticada para alterar saldos mostrados
La campaña empleó múltiples técnicas de evasión, incluyendo:
- Activación retardada de cargas maliciosas (hasta 2 semanas post-instalación)
- Infraestructura C2 dinámica usando dominios descentralizados
- Ofuscación de código que imitaba actualizaciones legítimas
Impacto y Detección:
La firma de seguridad Koi Security estima que la campaña permaneció activa al menos 5 meses antes de su detección, con picos de actividad coincidiendo con movimientos importantes del mercado. Los atacantes se enfocaron especialmente en:
- Inversores minoristas usando soluciones de cartera basadas en navegador
- Usuarios buscando alternativas durante caídas de servicio
- Participantes en airdrops y acuñaciones de NFT
Recomendaciones:
- Verificar identidades de desarrolladores mediante múltiples fuentes
- Monitorear comportamientos inusuales en confirmaciones de transacciones
- Implementar soluciones de hardware wallet para cantidades importantes
- Auditar regularmente extensiones instaladas
- Usar perfiles de navegador dedicados para actividades cripto
La operación GreedyBear subraya la creciente sofisticación de los ataques a la cadena de suministro en el espacio cripto, donde los atacantes buscan cada vez más comprometer las herramientas de gestión de activos digitales en lugar de atacar directamente las blockchains.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.