Basado en información de The Hacker News →
Introducción
Una campaña activa de extensiones maliciosas para navegador está vaciando billeteras de criptomonedas sin que la víctima se dé cuenta hasta que es demasiado tarde. Lo más preocupante: el ataque se disfraza de una herramienta legítima como Google Keep.
El problema
De acuerdo con un reporte de The Hacker News, investigadores de ciberseguridad de McAfee Labs han identificado una campaña activa de extensiones maliciosas para navegador que ha sido bautizada como Silent Swap. El ataque funciona como un “clipper” de criptomonedas: cuando un usuario inicia una transacción, la extensión reemplaza silenciosamente la dirección de la billetera de destino por una controlada por los atacantes. El gancho de distribución son instaladores sin firmar, detectados tanto en variantes .NET como en Golang, que instalan la extensión falsa de Google Notas (Google Keep) en el navegador de la víctima.
Consecuencias
Las criptomonedas se pierden de forma irreversible: una vez que el usuario confirma la transacción con la dirección modificada, los fondos viajan directamente a la billetera del adversario y no existe mecanismo de reversión. Dado que la extensión se ejecuta de manera invisible en segundo plano y solo altera el portapapeles o el campo de dirección en el momento exacto de la transacción, la mayoría de las víctimas descubren el robo cuando ya es imposible recuperar los activos.