Advertencia sobre Extensión Maliciosa en Chrome
La plataforma de seguridad blockchain Socket ha advertido sobre una nueva extensión de billetera de criptomonedas maliciosa en la Chrome Web Store de Google, que utiliza un método ingenioso para robar las frases semilla y drenar los activos de los usuarios. La extensión, denominada “Safery: Ethereum Wallet”, se presenta como una «extensión de navegador confiable y segura, diseñada para la gestión fácil y eficiente» de activos basados en Ethereum. Sin embargo, como se destacó en un informe de Socket publicado el martes, la extensión está diseñada en realidad para robar frases semilla a través de una astuta puerta trasera.
«Comercializada como una billetera Ethereum (ETH) simple y segura, contiene una puerta trasera que exfiltra frases semilla, codificándolas en direcciones Sui y transmitiendo microtransacciones desde una billetera Sui controlada por un actor malicioso», señala el informe.
Notablemente, actualmente ocupa el cuarto lugar en los resultados de búsqueda de «Ethereum Wallet» en la tienda de Google Chrome, solo un par de posiciones detrás de billeteras legítimas como MetaMask, Wombat y Enkrypt.
Riesgos de Seguridad de la Extensión
La extensión permite a los usuarios crear nuevas billeteras o importar existentes de otros lugares, lo que establece dos riesgos de seguridad potenciales. En el primer escenario, el usuario crea una nueva billetera en la extensión y envía inmediatamente su frase semilla al actor malicioso a través de una pequeña transacción basada en Sui. Dado que la billetera está comprometida desde el primer día, los fondos pueden ser robados en cualquier momento. En el segundo escenario, el usuario importa una billetera existente e ingresa su frase semilla, entregándola a los estafadores detrás de la extensión, quienes nuevamente pueden acceder a la información a través de la pequeña transacción.
«Cuando un usuario crea o importa una billetera, Safery: Ethereum Wallet codifica el mnemotécnico BIP-39 en direcciones de estilo Sui sintéticas, y luego envía 0.000001 SUI a esos destinatarios utilizando un mnemotécnico de actor malicioso codificado», explicó Socket, añadiendo: «Al decodificar a los destinatarios, el actor malicioso reconstruye la frase semilla original y puede drenar los activos afectados. El mnemotécnico sale del navegador oculto dentro de transacciones blockchain que parecen normales.»
Cómo Evitar Extensiones Fraudulentas
Aunque esta extensión maliciosa aparece en posiciones altas en los resultados de búsqueda, hay señales claras que indican su falta de legitimidad. La extensión no tiene reseñas, presenta un branding muy limitado, contiene errores gramaticales en parte de su presentación, no cuenta con un sitio web oficial y los enlaces llevan a un desarrollador que utiliza una cuenta de Gmail. Es fundamental que las personas realicen una investigación exhaustiva antes de interactuar con cualquier plataforma y herramienta blockchain, mantengan prácticas sólidas de ciberseguridad y busquen alternativas bien establecidas con legitimidad verificada. Dado que esta extensión también envía microtransacciones, es esencial monitorear e identificar constantemente las transacciones de la billetera, ya que incluso las pequeñas transacciones podrían ser perjudiciales.
