Uma campanha maliciosa apelidada de ‘GreedyBear’ entrou na loja de complementos da Mozilla, visando usuários do Firefox com 150 extensões maliciosas e roubando cerca de US $ 1.000.000 de vítimas inocentes.
A campanha, descoberta e documentada pela Koi Security, personifica extensões de carteira de criptomoedas de plataformas conhecidas como MetaMask, TronLink e Rabby.
Essas extensões são carregadas de forma benigna inicialmente, para serem aceitas pelo Firefox, e acumulam avaliações positivas falsas.
Em uma fase posterior, os editores retiram a marca original e a substituem por novos nomes e logotipos, ao mesmo tempo em que injetam código malicioso para roubar as credenciais da carteira e os endereços IP dos usuários.
explica Tuval Admoni da Koi Security.
“Durante a inicialização, eles também transmitem o endereço IP externo da vítima, provavelmente para fins de rastreamento ou direcionamento.”
A operação de drenagem de criptografia é complementada por dezenas de sites de software pirata de língua russa que facilitam a distribuição de 500 executáveis de malware distintos e também uma rede de sites que se passam por Trezor, Jupiter Wallet e serviços de reparo de carteiras falsas.
Nos casos de malware, as cargas úteis incluem trojans genéricos, ladrões de informações (LummaStealer) ou até mesmo ransomware.
Todos esses sites estão vinculados ao mesmo endereço IP, 185.208.156.66, que serve como um hub de comando e controle (C2) para a operação do GreedyBear
“Isso torna mais rápido e fácil do que nunca para os invasores dimensionar operações, diversificar cargas úteis e evitar a detecção.”
O ataque anterior em grande escala à loja Firefox ocorreu no mês passado, envolvendo mais de 40 extensões falsas fingindo ser carteiras da Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr e MyMonero.
É notável que essas extensões fraudulentas ainda cheguem à loja Firefox, apesar de a Mozilla ter implantou um sistema em junho de 2025 para detectar complementos de drenagem de criptografia.
A Koi Security também relata ter visto sinais de que os operadores do GreedyBear estão explorando a expansão para a Chrome Web Store, pois já detectaram uma extensão maliciosa do Chrome chamada “Filecoin Wallet” que usa a mesma lógica de roubo de dados e se comunica com o mesmo endereço IP.
Para minimizar o risco dessas ameaças, sempre leia várias avaliações de usuários e verifique os detalhes da extensão e do editor antes de instalar complementos em seu navegador.
Você pode encontrar as extensões oficiais da carteira nos sites dos próprios projetos, hospedadas diretamente ou com links para o complemento legítimo nas lojas online.
O BleepingComputer entrou em contato com a Mozilla e o Google sobre esta campanha e seus esforços para proteger os usuários, e atualizará este artigo com quaisquer respostas.
Bill Toulas
Bill Toulas é redator de tecnologia e repórter de notícias de segurança da informação com mais de uma década de experiência trabalhando em várias publicações online, cobrindo código aberto, Linux, malware, incidentes de violação de dados e hacks.