14 de noviembre de 2025

⚠️ El ataque perfecto: una extensión falsa de Chrome que roba tu wallet usando… otra blockchain

⚠️ El ataque perfecto: una extensión falsa de Chrome que roba tu wallet usando… otra blockchain

Si trabajas en TI, esta historia te va a doler.
Una extensión maliciosa logró entrar al Chrome Web Store, robar frases semilla de wallets Ethereum y exfiltrar los datos sin servidores, sin C2 y sin tráfico sospechoso.
¿Cómo? Ocultando todo dentro de transacciones legítimas en una blockchain diferente.

Sí, así como lo lees.
Bienvenido al nuevo nivel del malware para navegadores.

🔍 El caso “Safery: Ethereum Wallet”: una extensión que parecía segura… hasta que vaciaba wallets

En 2025 se descubrió una extensión falsa de Chrome llamada “Safery: Ethereum Wallet”, diseñada para robar frases semilla (BIP-39) de usuarios que confiaban en ella como si fuera una billetera rápida y segura.
Fue publicada en el Chrome Web Store el 29 de septiembre de 2025 y siguió activa hasta el 12 de noviembre de 2025. Durante todo ese tiempo operó sin levantar alertas visibles.

🧨 La técnica: exfiltrar seed phrases usando la blockchain Sui

Esta extensión hacía algo que cualquier ingeniero de TI debe entender, porque abre la puerta a una nueva categoría de ataques:

1. Roba la seed phrase del usuario

Intercepta la frase BIP-39 desde el navegador.

2. La codifica como si fueran direcciones válidas de la blockchain Sui

Cada parte de la frase se convierte en una supuesta dirección “compatible”.

3. Envía microtransacciones hacia esas direcciones desde una cartera controlada por el atacante

Desde fuera, parecen transacciones normales.

4. El atacante monitoriza la blockchain

Cada microtransacción representa un fragmento de la seed phrase.

5. Reconstruye la frase completa y toma control de la wallet del usuario

Sin servidores C2, sin registros sospechosos, sin ruido en la red.

Todo el malware viaja camuflado dentro de una blockchain legítima.

🎭 ¿Por qué funcionó? Diseño convincente + ingeniería social técnica

“Safery” se promocionaba con:

  • Interfaz limpia

  • Mensajes de “seguridad reforzada”

  • Promesas de velocidad y usabilidad

Para cualquier usuario promedio —e incluso para técnicos distraídos— parecía una wallet legítima, lo que llevó a miles de instalaciones antes de ser detectada.

🛡️ Lo que un profesional de TI debe aprender de este caso

1. Ya no basta con revisar permisos visibles

Un malware moderno puede operar sin C2, sin llamadas HTTP raras y sin archivos añadidos.
Las blockchains públicas ahora se están usando como canales de exfiltración indetectables.

2. Las extensiones de navegador son un vector subestimado

Especialmente entre:

  • Reparadores de PC que instalan Chrome a clientes

  • Devs que usan extensiones para debugging

  • Sysadmins que no monitorean el navegador corporativo

  • Personal de TI que no revisa la firma del desarrollador

3. El tráfico hacia redes blockchain debe monitorearse

Cualquier llamada RPC desconocida a blockchains que tu organización no usa debe levantar una bandera roja.

4. Si trabajas con usuarios, educa siempre sobre wallets

Las únicas fuentes seguras siguen siendo:

  • MetaMask

  • Phantom

  • Extensiones oficiales verificadas

Nada más.

5. Esto no es un caso aislado: es una tendencia

La descentralización y transparencia de las blockchains da a los atacantes un canal perfecto para esconder datos sin depender de infraestructura.

🧯 Recomendaciones prácticas para tu día a día en TI

  • Desactiva la instalación de extensiones no verificadas en entornos corporativos.

  • Monitorea actividades RPC de navegadores con herramientas EDR modernas.

  • Audita extensiones instaladas cada trimestre.

  • Implementa listas blancas de extensiones permitidas.

  • Educa a usuarios sobre seed phrases y wallets.

  • Valida el origen de cualquier extensión “nueva y prometedora” antes de instalarla.

📌 Conclusión

El caso de la extensión maliciosa “Safery” marca un salto cualitativo en ataques contra usuarios de criptomonedas y, más importante aún, en ataques basados en navegador:

👉 Malware sin servidores
👉 Exfiltración usando blockchains legítimas
👉 Ataques invisibles para la mayoría de herramientas de seguridad

Este tipo de amenazas obliga a los profesionales de TI a subir el nivel y empezar a ver el navegador como lo que realmente es hoy:
Un sistema operativo dentro del sistema operativo.

Fuente: https://cyberpress.org/ethereum-wallet-compromise/
Siguiente → 🔥 Endgame 2025: El golpe global que sacu...
Escrito por:
Luis Carreón
📰 Otras noticias del día
🔥 Endgame 2025: El golpe global que sacudió a las botnets más peligrosas del mundo
🚨 CVE-2025-9242: La vulnerabilidad crítica en WatchGuard Firebox que puede abrir tu red sin un solo clic
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio