GreedyBear: Мошенники начали красть криптовалюту на «промышленном уровне» с помощью фальшивых расширений, вредоносного ПО и поддельных сайтов.

Группа мошенников GreedyBear увеличивает масштабы кражи криптовалюты до «промышленного уровня».

По данным компании по кибербезопасности Koi Security, зловещая кампания принесла более 1 миллиона долларов в stolen криптовалюте, используя три типа атак через сотни расширений браузеров, веб-сайтов и вредоносного ПО.

Исследователь Koi Security Туваль Адмони сказал в четверг, что злонамеренная группа, которую компания назвала «GreedyBear», «переопределила промышленный уровень кражи криптовалют».

«Большинство групп выбирают определённый подход — возможно, они работают с расширениями браузера, или сосредотачиваются на программах-вымогателях, или управляют мошенническими фишинговыми сайтами. GreedyBear же решила: ‘Почему бы не использовать все три?’ И это сработало. Спектакулярно», — сказал Адмони.

Типы атак, осуществляемых GreedyBear, использовались и ранее, но в отчете подчеркивается, что киберпреступники теперь разворачивают ряд сложных схем, нацеленных на пользователей криптовалют, что, по словам Адмони, показывает, что мошенники перестали «думать мелко».

Более 150 поддельных расширений для браузеров криптовалюты

Более 1 миллиона долларов, по сообщениям, было украдено у пользователей криптовалюты с более чем 650 вредоносных инструментов, специально нацеленных на пользователей криптовалютных кошельков, сообщил Адмони.

Группа выпустила более 150 вредоносных расширений для браузера Firefox, каждое из которых предназначено для подражания популярным крипто-кошелькам, таким как MetaMask, TronLink, Exodus и Rabby Wallet.

Злоумышленники используют технику «Extension Hollowing», сначала создавая легитимные расширения, чтобы обойти проверки на маркетплейсах, а потом делая их зловредными.

Адмони объяснил, что вредоносные расширения непосредственно захватывают данные о кошельке из полей ввода пользователей внутри фальшивых интерфейсов кошельков. «Этот подход позволяет GreedyBear обойти безопасность маркетплейса, выглядя легитимно во время начального процесса рассмотрения, а затем превращая уже существующие расширения, которые уже имеют доверие пользователей и положительные отзывы», — добавил он.

Дедди Лавид, CEO компании по кибербезопасности Cyvers, сказал Cointelegraph, что кампания GreedyBear «показывает, как киберпреступники используют доверие, которое пользователи оказывают магазинам расширений браузера. Клонирование популярных плагинов для кошельков, надувание отзывов, а затем тихая замена на вредоносное ПО для кражи учетных данных.»

Вредоносное расширение Exodus Wallet.

В начале июля Koi Security выявила 40 вредоносных расширений для Firefox, заподозрив за кампанией «Foxy Wallet» русские угрозы.

Вредоносное ПО на тему криптовалюты

Вторая ветвь атак группы сосредоточена на вредоносном ПО на тему криптовалюты, из которого Koi Security обнаружила почти 500 образцов.

Похитители учетных данных, такие как LummaStealer, специально нацелены на информацию о кошельках криптовалют, в то время как варианты программ-вымогателей, такие как Luca Stealer, предназначены для требования крипто-платежей.

Большая часть вредоносного ПО распространяется через российские веб-сайты, предлагающие взломанное или пиратское программное обеспечение, отметил Адмони.

Сеть мошеннических веб-сайтов

Третья вектор атаки в триаде — это сеть фальшивых веб-сайтов, представляющихся крипто-сервисы и продукты.

«Это не типичные фишинговые страницы, имитирующие входные порталы — скорее, они выглядят как стильные, поддельные целевые страницы продуктов, рекламирующие цифровые кошельки, аппаратные устройства или услуги по ремонту кошельков,» — отметил Адмони.

По его словам, один сервер действует как центральный узел для управления, сбора учетных данных, координации программ-вымогателей и мошеннических веб-сайтов, «позволяя атакующим оптимизировать операции через несколько каналов.»

Единый IP-адрес контролирует кампанию.

Кампания также демонстрирует признаки кода, созданного с помощью ИИ, что позволяет быстро масштабировать и диверсифицировать атаки на крипто-цели, представляя новую эволюцию киберпреступности, нацеленной на криптовалюту.

«Это не мимолетная тенденция — это новое нормальное состояние,» — предостерег Адмони.

«Эти атаки эксплуатируют ожидания пользователей и обманывают статические защиты, вводя вредоносную логику непосредственно в пользовательские интерфейсы кошельков,» — сказал Лавид, добавив: «Это подчеркивает необходимость более строгой проверки со стороны продавцов браузеров, прозрачности разработчиков и бдительности пользователей.»

Журнал: Филиппины блокируют крупные криптообмены, запасы мошенника Coinbase: Азия Экспресс