GreedyBear, un peligroso grupo de ciberdelincuentes rusos, está causando estragos en el ecosistema cripto al crear un Falso MetaMask para robar fondos. El grupo ha perfeccionado un esquema sofisticado utilizando extensiones de navegador falsas para vaciar billeteras digitales. Hasta ahora se estima que su botín es de 1 millón de dólares, algo que han logrado en apenas cinco semanas.
Koi Security, una firma especializada en ciberseguridad con sede en Estados Unidos e Israel, ha dado la alarma. Indicando que el modus operandi es tan audaz como efectivo, los hackers han generado 150 extensiones de Firefox modificadas, incluyendo réplicas maliciosas de billeteras populares como MetaMask, Exodus, Rabby Wallet y TronLink.
🚨 Meet GreedyBear, the Fortune 500 of Crypto Theft
We just uncovered a coordinated attack campaign operating at unprecedented scale:
– Over 150 weaponized Firefox extensions
– Over 500 malicious Windows executables
– Dozens of phishing websitesAll managed from a centralized… pic.twitter.com/x7Lr3cd968
— ExtensionTotal – Malware Updates (@extensiontotal) August 7, 2025
La táctica, conocida como “Extension Hollowing”, implica cargar inicialmente versiones legítimas para evadir controles de seguridad, para luego actualizarlas con código malicioso que roba credenciales. Pero el engaño no termina ahí, múltiples reseñas falsas pululan en la web para atraer a cripto inversores incautos.
Koi Security and researchers report GreedyBear distributing 150 weaponized Firefox extensions impersonating MetaMask to steal private keys and siphon funds. Targets include English-speaking DeFi users and browser wallet holders; investigators link at least $1M lost so far,… pic.twitter.com/3b9He5v4vd
— Pulse platform (@Pulse_Platform1) August 11, 2025
GreedyBear ha inundado foros y tiendas de extensiones con comentarios positivos fabricados, haciendo que sus trampas parezcan confiables. Una vez instaladas, las extensiones comprometidas actúan rápido: secuestran claves privadas y drenan fondos sin dejar rastro.
Te puede interesar: Corea del Norte usa Operadores para Infiltrarlos en Cripto Empresas
El ataque va más allá de una versión falsa de MetaMask
El grupo no se limita a crear extensiones falsas. Su arsenal incluye cerca de 500 ejecutables maliciosos para Windows, distribuidos a través de sitios rusos de software pirateado. Estos archivos contienen desde troyanos hasta ransomware, adaptándose según la víctima.
Además, han desplegado docenas de sitios de phishing que imitan servicios legítimos de criptomonedas, como venta de hardware wallets o “recuperación de billeteras”. El objetivo es claro: engañar a los usuarios para que ingresen sus datos sensibles.
⚠️ Ongoing crypto theft campaign targets Firefox users via 40+ fake wallet extensions.
Clone tools include MetaMask, Coinbase, OKX & Phantom.
Koi Security suspects a Russian-speaking group behind it.
Extension = full software — treat it as such. pic.twitter.com/h7N4odm45C— CryptoPotato Official (@Crypto_Potato) July 3, 2025
Koi Security descubrió un dato crucial para poder determinar el origen del ataque. Casi todos los dominios utilizados en los ataques se vinculan a una única dirección IP (185.208.156.66). Según Idan Dardikman, CTO de Koi, esto sugiere un “control centralizado” típico del crimen organizado, descartando un patrocinio estatal. “Esto es obra de delincuentes rusos con fines de lucro, no de un Estado”, explicó Dardikman.
¿Qué puedes hacer para proteger tus activos?
Ante la amenaza creciente, los expertos de Koi Security recomiendan medidas urgentes:
- Descarga extensiones solo de desarrolladores verificados y con historial confiable.
- Evita software pirateado como la plaga, es el caldo de cultivo perfecto para malware.
- Usa billeteras de hardware para grandes cantidades, pero cómpralas exclusivamente en sitios oficiales (GreedyBear ya clona estas páginas).
- Desconfía de ofertas “too good to be true” (muy bueno para ser verdad), en software de “reparación de wallets” o descuentos sospechosos.
🚨 Over 40 Malicious Wallet Extensions Found on Firefox!
Koi Security has flagged 40+ fake crypto wallet extensions on Firefox mimicking MetaMask, Coinbase, and others. These steal seed phrases and drain wallets within minutes.
🔐 Only install extensions from official sites.… pic.twitter.com/qNJfrvESSr
— The Finance DNA (@TheFinanceDNA) July 3, 2025
Es importante tomar medidas de precaución, sobre cuando grupos como GreedyBear no planean detenerse, por el contrario, siguen evolucionando en sus tácticas. Koi Security recomienda revisar las extensiones, actualizar la seguridad en los dispositivos y nunca subestimar una amenaza.
