La truffa GreedyBear diffusa tramite estensioni di Firefox ha rubato 1 milione di dollari in criptovalute: Koi Security

Il gruppo truffaldino GreedyBear ha rubato oltre 1 milione di dollari in criptovalute attraverso una campagna di attacchi coordinata.

Koi Security ha riferito che il gruppo ha lanciato 150 estensioni di Firefox modificate, oltre a 500 eseguibili dannosi. L'operazione ha utilizzato estensioni di wallet falsi, siti web di phishing e malware per colpire di criptovalute su più piattaforme.

La frode dell'estensione di Firefox prende di mira i popolari portafogli crittografici

La truffa GreedyBear ha lanciato oltre 150 estensioni dannose sul Firefox Store, prendendo di mira gli utenti di criptovalute. Le estensioni dannose imitano portafogli popolari come MetaMask, Trondentdentdentdentdentdentdentdentquando questi tentano di accedere.

Inizialmente, gli hacker producono estensioni dall'aspetto autentico, come strumenti per la pulizia dei link e download di YouTube, con funzionalità limitate. Con una gamma di 5-7 utility generiche con nomi di editori nuovi, in genere si guadagnano credibilità a lungo termine.

Una volta che i criminali hanno guadagnato fiducia attraverso recensioni positive autentiche, svuotano completamente queste estensioni. Modificano nomi, icone e iniettano codice dannoso, ma mantengono la cronologia delle recensioni positive originali. Questo metodo consente alle estensioni dannose di apparire affidabili ai nuovi utenti che navigano sul marketplace.

Le estensioni funzionano come strumenti per ottenere ledentdel portafoglio elettronico tramite campi di input nelle finestre pop-up. Le informazioni rubate vengono trasmesse a server remoti controllati dal gruppo criminale per essere sfruttate a tempo debito. Le estensioni trasmettono anche gli indirizzi IP delle vittime all'avvio per trac.

Questa azione è un seguito alla precedente attività di Foxy Wallet, che hadent40 estensioni dannose. La portata è ora più che raddoppiata rispetto al caso iniziale. Le segnalazioni degli utenti confermano che le vittime hanno perso un valore significativo di criptovalute utilizzando queste estensioni di wallet falsi a intervalli diversi.

L'attacco multipiattaforma combina malware e siti web truffaldini

GreedyBear La truffa gestisce quasi 500 eseguibili Windows dannosi, oltre alla campagna di estensioni del browser. Questi programmi si diffondono attraverso siti web russi che distribuiscono software piratato e craccato a utenti ignari. La raccolta di malware comprende diverse categorie di minacce per massimizzare il potenziale di danno.

I ladri didentcome LummaStealer prendono di mira le informazioni dei portafogli crittografici archiviati sui computer delle vittime. Le varianti del ransomware crittografano i file degli utenti e richiedono pagamenti in criptovaluta per le chiavi di decrittazione. I trojan generici forniscono accesso backdoor per la distribuzione di payload aggiuntivi quando necessario.

Il gruppo gestisce anche un'infrastruttura di siti di servizi crittografici che si spacciano per siti di furto di dati. I siti truffa sono servizi crittografici dall'aspetto legittimo e non sono le tipiche pagine di phishing. I portafogli hardware con il marchio Jupiter contengono anche mockup di un'interfaccia falsificata per indurre i potenziali acquirenti a rivelare i dettagli di pagamento.

Un altro esempio citato nel rapporto riguarda i siti web di riparazione di portafogli che affermano di riparare prodotti Trezor danneggiati per clienti frustrati. I siti web che si spacciano per siti di supporto tecnico raccolgono parole chiave per il recupero dei portafogli e chiavi private. Alcuni domini sono attivi, mentre altri sono dormienti, in attesa di attacchi mirati in futuro.

La varietà di metodi di attacco dimostra che la truffa GreedyBear sfrutta un'ampia pipeline di distribuzione anziché concentrarsi su una singola tecnica. Questo approccio diversificato consente al gruppo di modificare le tattiche in base a ciò che funziona meglio. Il riutilizzo dell'infrastruttura tra diverse famiglie di malware conferma il coordinamento centralizzato di tutti i componenti della campagna.

Il server centralizzato controlla le operazioni di furto globali

GreedyBear gestisce l'intera attività criminale tramite un unico indirizzo IP, 185.208.156.66. Quasi tutti i domini utilizzati nelle estensioni, nei payload di malware e nei siti di phishing si connettono a questo server centrale. Questo hub gestisce le comunicazioni di comando e controllo, la raccolta delledent, il coordinamento dei ransomware e l'hosting dei siti web fraudolenti.

L'infrastruttura centralizzata consente agli aggressori di semplificare le operazioni su più canali di attacco in modo efficiente. I dati provenienti da estensioni del browser, infezioni da malware e vittime di siti web confluiscono tutti nello stesso punto di raccolta. Questo approccio semplifica la gestione, fornendo al contempo informazioni complete sulle vittime target.

Koi Security ha scoperto che il gruppo ha già iniziato a espandersi oltre i browser Firefox. Un'estensione dannosa di Chrome chiamata Filecoin Wallet utilizzava metodidentper il furto didentmesi fa. Questa estensione di Chrome comunicava con domini ospitati sulla stessa infrastruttura server 185.208.156.66.

La connessione conferma che GreedyBear sta testando le operazioni su diversi ecosistemi di browser. Chrome, Edge e altri browser saranno probabilmente oggetto di campagne di estensione simili nei prossimi mesi. La volontà del gruppo di sperimentare su più piattaforme dimostra il suo impegno a scalare le operazioni.

Secondo l'analisi del codice, gli strumenti di intelligenza artificiale hanno contribuito ad accelerare la crescita e la complessità della campagna. Gli artefatti generati nel malware suggeriscono che l'intelligenza artificiale supporta la creazione e la scalabilità del payload. Questa tecnologia consente cicli di sviluppo più rapidi e una migliore elusione dei sistemi di rilevamento della sicurezza su diverse piattaforme.