4 min
Una sofisticata operazione di cybercriminalità sta mettendo a rischio gli utenti di criptovalute attraverso un sistema di estensioni fasulle per Firefox che imitano alla perfezione i portafogli digitali più popolari. La scoperta, che ha rivelato oltre 40 componenti aggiuntivi fraudolenti ancora in circolazione, rappresenta una delle minacce più persistenti e tecnicamente avanzate mai documentate nel settore delle valute digitali. L'aspetto più preoccupante è che questa campagna criminale risulta attiva da quasi un anno, con nuove estensioni maligne caricate sullo store ufficiale di Firefox anche la scorsa settimana.
Un inganno che sfrutta la fiducia degli utenti
I criminali informatici hanno replicato con precisione millimetrica l'aspetto e le funzionalità di MetaMask, Coinbase, Phantom, Trust Wallet, Exodus e OKX, tra gli altri portafogli più utilizzati. Una volta installate, queste estensioni apparentemente innocue raccolgono silenziosamente le credenziali sensibili degli utenti, creando un accesso diretto ai loro fondi distribuiti su diverse blockchain. La ricerca condotta da Koi Security ha identificato il primo episodio di questa campagna nell'aprile 2025, evidenziando come l'operazione si sia evoluta costantemente per eludere i sistemi di rilevamento.
Per aumentare la loro credibilità, molte di queste estensioni fraudolente sono state artificialmente gonfiate con centinaia di recensioni a cinque stelle e commenti positivi. Questo trucco ha probabilmente convinto numerosi utenti a scaricare gli strumenti senza sospettare alcun inganno, sfruttando la tendenza naturale delle persone a fidarsi delle valutazioni elevate come indicatore di affidabilità.
Tracce che puntano verso l'Europa orientale
L'analisi tecnica delle estensioni ha rivelato diversi indizi che suggeriscono il coinvolgimento di un gruppo di criminali di lingua russa. I ricercatori di Koi Security hanno trovato commenti in russo incorporati nel codice delle estensioni, mentre i documenti collegati all'infrastruttura di comando e controllo contenevano metadati nella stessa lingua. Sebbene questi elementi non costituiscano una prova definitiva, si allineano con le tattiche osservate in precedenti campagne di gruppi criminali originari dell'Europa orientale.
La portata e la persistenza dell'operazione indicano chiaramente uno sforzo organizzato piuttosto che l'azione di singoli malintenzionati. Gli esperti di sicurezza sottolineano che non si tratta di un exploit isolato, ma di una tattica in continua evoluzione che potrebbe espandersi ad altri browser e piattaforme di criptovalute in futuro. La capacità di aggirare i sistemi di revisione dei browser e di mantenere attiva la campagna per mesi dimostra un livello di coordinamento e risorse considerevole.
Strategie di difesa per gli utenti
Per proteggersi da questa minaccia, gli esperti raccomandano di evitare il download di estensioni del browser al di fuori delle raccomandazioni ufficiali dei fornitori di portafogli. È fondamentale verificare sempre le informazioni sugli sviluppatori nelle pagine dei componenti aggiuntivi e prestare attenzione alle autorizzazioni richieste dalle estensioni. Gli utenti dovrebbero inoltre rimuovere immediatamente qualsiasi strumento che non ricordano di aver installato esplicitamente o che non riconoscono più.
La minaccia rappresentata da queste estensioni fraudolente sottolinea l'importanza crescente della vigilanza degli utenti nel panorama delle criptovalute. Con il valore del mercato delle valute digitali che continua a crescere, è probabile che i criminali informatici intensifichino i loro sforzi per sviluppare metodi sempre più sofisticati per sottrarre fondi agli investitori. La persistenza di questa particolare campagna, con nuove estensioni maligne che continuano ad apparire nonostante la segnalazione del problema, evidenzia le sfide che le piattaforme di distribuzione software devono affrontare nel mantenere la sicurezza dei loro ecosistemi.
Il caso sottolinea anche l'importanza di un approccio multi-livello alla sicurezza nel settore delle criptovalute, dove la responsabilità per la protezione dei fondi è condivisa tra sviluppatori di piattaforme, fornitori di browser e utenti finali. Solo attraverso una collaborazione efficace tra tutti questi attori sarà possibile contrastare efficacemente minacce così sofisticate e persistenti come quella documentata da Koi Security.