GreedyBear: Шахраї в криптовалюті нарощують масштаби викрадення до індустріального рівня

Група шахраїв GreedyBear нарощує масштаби викрадення криптовалюти до «індустріального рівня»

Зловмисна кампанія принесла понад 1 мільйон доларів у викраденій криптовалюті за допомогою трьох типів атак через сотні розширень браузера, вебсайтів та шкідливого програмного забезпечення, повідомляє компанія з кібербезпеки Koi Security.

Дослідник Koi Security Тувал Адмоні заявив у четвер, що зловмисна група, яку компанія назвала «GreedyBear», «переформувала викрадення криптовалюти на індустріальному рівні».

«Більшість груп обирають один напрямок — можливо, вони розробляють розширення браузера, або зосереджуються на програмному забезпеченні для викупу, або запускають шахрайські фішингові сайти — GreedyBear вирішила: чому б не поєднати всі три? І це спрацювало. Вражаюче», — сказав Адмоні.

Типи атак

Методи атак, що використовуються GreedyBear, вже застосовувалися раніше, але звіт підкреслює, що кіберзлочинці тепер використовують ряд складних шахрайств, націлених на користувачів криптовалюти, що свідчить про те, що шахраї перестали «думати дрібно».

• Більш ніж 1 мільйон доларів було, як повідомляється, викрадено у користувачів криптовалюти з понад 650 зловмисних інструментів, які спеціально націлені на користувачів криптогаманців.
• Група опублікувала більше 150 зловмисних розширень браузера на маркетплейсі Firefox, кожне з яких призначене для імітації популярних криптогаманців, таких як MetaMask, TronLink, Exodus та Rabby Wallet.

Зловмисники використовують техніку “Extension Hollowing”, спочатку створюючи законні розширення, щоб обійти перевірки маркетплейсів, а потім перетворюючи їх на шкідливі.

Адмоні пояснив, що зловмисні розширення безпосередньо захоплюють дані гаманця з полів введення користувача в підроблених інтерфейсах гаманців. «В цей спосіб GreedyBear обминає безпеку маркетплейсу, виглядаючи легітимно під час початкового процесу перевірки, а потім озброює вже існуючі розширення, які користувачі довіряють і які мають позитивні відгуки», — вказав він.

Мережа шахрайських вебсайтів

Третій вектор атаки в тріаді — це мережа підроблених вебсайтів, що видають себе за крипто-орієнтовані продукти та послуги.

«Це не типові фішингові сторінки, які імітують портали входу — натомість вони виглядають як стильні, підроблені веб-сторінки продуктів, які рекламують цифрові гаманці, апаратні пристрої або послуги ремонту гаманців», — зазначив Адмоні.

Кампанія також демонструє ознаки кодів, згенерованих ШІ, що дозволяє швидко розширювати та диверсифікувати атаки на криптовалюту, представляючи нову еволюцію в кіберзлочинності, орієнтованій на криптовалюту.

«Це не минаючий тренд — це нова норма», — попередив Адмоні.

«Ці атаки експлуатують очікування користувачів і обходять статичні засоби захисту, вводячи шкідливу логіку безпосередньо в інтерфейси гаманців», — додав Лавід, підкреслюючи необхідність більш суворої перевірки з боку постачальників браузерів, прозорості розробників та пильності користувачів.

Журнал: Філіппіни блокують великі криптобіржі, запаси шахраїв Coinbase: Азія Експрес