La estafa GreedyBear, difundida a través de extensiones de Firefox, robó $1 millón en criptomonedas: Koi Security

El grupo fraudulento GreedyBear ha robado más de un millón de dólares en criptomonedas a través de una campaña de ataque coordinada.

Koi Security informó que el grupo lanzó 150 extensiones de Firefox maliciosas, además de 500 ejecutables maliciosos. La operación utilizó extensiones de billetera falsas, sitios web de phishing y malware para atacar de criptomonedas en múltiples plataformas.

El fraude de la extensión de Firefox se centra en las carteras de criptomonedas más populares

La estafa GreedyBear lanzó más de 150 extensiones maliciosas en la tienda de Firefox dirigidas a usuarios de criptomonedas. Estas extensiones suplantan la identidad de billeteras populares como MetaMask, Trondentdentdentdentdentdentdentdentcuando intentan iniciar sesión.

Los hackers inicialmente producen extensiones de apariencia genuina, como limpiadores de enlaces y descargadores de YouTube, con funcionalidad limitada. Con una gama de 5 a 7 utilidades genéricas con nombres de editores recientes, suelen consolidar su credibilidad a largo plazo.

Una vez que los delincuentes han generado confianza mediante reseñas positivas genuinas, eliminan estas extensiones por completo. Modifican nombres e íconos e inyectan código dañino, pero conservan el historial original de reseñas positivas. Este método permite que las extensiones dañinas parezcan confiables para los nuevos usuarios que navegan por el mercado.

Las extensiones funcionan como instrumentos para obtenerdentde billetera a partir de los campos de entrada en sus ventanas emergentes. La información robada se transmite a servidores remotos controlados por el grupo criminal para su posterior explotación. Las extensiones también transmiten las direcciones IP de las víctimas al iniciarse para trac.

Esta acción es una continuación de una actividad previa de Foxy Wallet, en la que sedent40 extensiones maliciosas. El alcance se ha más que duplicado desde el caso inicial. Los informes de usuarios confirman que las víctimas perdieron una cantidad significativa de criptomonedas al usar estas extensiones de billetera falsas en diferentes intervalos.

Un ataque multiplataforma combina malware y sitios web fraudulentos

GreedyBear La estafa opera cerca de 500 ejecutables maliciosos de Windows junto con su campaña de extensiones de navegador. Estos programas se propagan a través de sitios web rusos que distribuyen software pirateado a usuarios desprevenidos. La colección de malware abarca múltiples categorías de amenazas para maximizar el daño potencial.

Los ladrones dedentcomo LummaStealer atacan la información de las billeteras de criptomonedas almacenada en los ordenadores de las víctimas. Las variantes de ransomware cifran los archivos del usuario y exigen el pago de criptomonedas a cambio de las claves de descifrado. Los troyanos genéricos proporcionan acceso de puerta trasera para la entrega de carga útil adicional cuando es necesario.

El grupo también mantiene una infraestructura de sitios web que imitan servicios de criptomonedas para el robo de datos. Estos sitios fraudulentos son servicios de criptomonedas aparentemente legítimos y no son páginas de phishing típicas. Las billeteras de hardware de la marca Jupiter también contienen prototipos de una interfaz falsificada para engañar a los compradores potenciales y que revelen sus datos de pago.

Otro ejemplo citado en el informe son los sitios web de reparación de billeteras que afirman reparar productos Trezor dañados para clientes frustrados. Estos sitios web suplantadores de identidad recopilan palabras de recuperación de billetera y claves privadas haciéndose pasar por soporte técnico. Algunos dominios están activos, mientras que otros están inactivos, a la espera de futuros ataques dirigidos.

La variedad de métodos de ataque demuestra que la estafa GreedyBear opera un amplio canal de distribución en lugar de centrarse en una sola técnica. Este enfoque diversificado permite al grupo cambiar de táctica según sus mejores resultados. La reutilización de la infraestructura entre diferentes familias de malware confirma la coordinación centralizada de todos los componentes de la campaña.

Un servidor centralizado controla las operaciones de robo a nivel mundial

GreedyBear opera toda su actividad criminal a través de una única dirección IP: 185.208.156.66. Casi todos los dominios utilizados en las extensiones, las cargas útiles de malware y los sitios de phishing se conectan a este servidor central. Este centro gestiona las comunicaciones de comando y control, la recopilacióndent, la coordinación de ransomware y el alojamiento de sitios web fraudulentos.

La infraestructura centralizada permite a los atacantes optimizar sus operaciones en múltiples canales de ataque de forma eficiente. Los datos de las extensiones del navegador, las infecciones de malware y las víctimas de sitios web se recopilan en el mismo punto. Este enfoque simplifica la gestión y proporciona información completa sobre las víctimas.

Koi Security descubrió que el grupo ya ha comenzado a expandirse más allá de los navegadores Firefox. Una extensión maliciosa de Chrome llamada Filecoin Wallet utilizó métodos de robodentdentmeses. Esta extensión de Chrome se comunicó con dominios alojados en la misma infraestructura de servidor 185.208.156.66.

La conexión confirma que GreedyBear está probando operaciones en diferentes ecosistemas de navegadores. Es probable que Chrome, Edge y otros navegadores se enfrenten a campañas de extensión similares en los próximos meses. La disposición del grupo a experimentar en diferentes plataformas demuestra su compromiso con la escalabilidad de sus operaciones.

Las herramientas de IA han ayudado a acelerar el crecimiento y la complejidad de la campaña, según el análisis de código. Los artefactos generados en el malware sugieren que la inteligencia artificial facilita la creación y el escalado de la carga útil. Esta tecnología permite ciclos de desarrollo más rápidos y una mejor evasión de los sistemas de detección de seguridad en diferentes plataformas.