Golpe GreedyBear, disseminado por meio de extensões do Firefox, roubou US$ 1 milhão em criptomoedas: Koi Security

O grupo fraudulento GreedyBear roubou mais de US$ 1 milhão em criptomoedas por meio de uma campanha de ataques coordenada.

A Koi Security relatou que o grupo lançou 150 extensões maliciosas para o Firefox, além de 500 executáveis ​​maliciosos. A operação utilizou extensões de carteira falsas, sites de phishing e malware para atingir de criptomoedas usuários

Fraude com extensão do Firefox visa carteiras de criptomoedas populares

O golpe GreedyBear lançou mais de 150 extensões maliciosas na loja do Firefox, visando usuários de criptomoedas. As extensões maliciosas se fazem passar por carteiras populares como MetaMask, Trondentdentdentdentdentdentdentdentquando estes tentam fazer login.

Inicialmente, os hackers criam extensões com aparência legítima, como removedores de links e programas para baixar vídeos do YouTube, mas com funcionalidades limitadas. Com um conjunto de 5 a 7 utilitários genéricos com nomes de editores diferentes, eles geralmente conquistam credibilidade a longo prazo.

Depois de conquistarem a confiança dos usuários por meio de avaliações positivas genuínas, os criminosos esvaziam completamente essas extensões. Eles alteram nomes, ícones e injetam código malicioso, mas mantêm o histórico original de avaliações positivas. Esse método permite que extensões maliciosas pareçam confiáveis ​​para novos usuários que navegam pela loja de aplicativos.

As extensões funcionam como instrumentos para obterdentde carteiras digitais a partir de campos de entrada em suas janelas pop-up. As informações roubadas são transmitidas para servidores remotos controlados pelo grupo criminoso para posterior exploração. As extensões também transmitem os endereços IP das vítimas ao serem iniciadas para fins de trac.

Esta ação dá seguimento à atividade anterior da Foxy Wallet, quedent40 extensões maliciosas. O escopo agora aumentou mais que o dobro em relação ao caso inicial. Relatos de usuários confirmam que as vítimas perderam quantias significativas de criptomoedas ao usar essas extensões de carteira falsas em diferentes momentos.

Ataque multiplataforma combina malware e sites fraudulentos

GreedyBear O golpe opera com quase 500 executáveis ​​maliciosos para Windows, além de sua campanha de extensão para navegadores. Esses programas se espalham por meio de sites russos que distribuem softwares crackeados e pirateados para usuários desavisados. A coleção de malware abrange diversas categorias de ameaças para maximizar o potencial de dano.

Ladrõesdentcomo o LummaStealer visam informações de carteiras de criptomoedas armazenadas nos computadores das vítimas. Variantes de ransomware criptografam arquivos do usuário e exigem pagamentos em criptomoedas para fornecer as chaves de descriptografia. Trojans genéricos fornecem acesso por meio de backdoors para a entrega de cargas adicionais quando necessário.

O grupo também mantém uma infraestrutura de sites falsos de serviços de criptomoedas para roubo de dados. Os sites fraudulentos são serviços de criptomoedas com aparência legítima e não são páginas de phishing típicas. Carteiras de hardware da marca Jupiter também contêm simulações de uma interface falsificada para enganar potenciais compradores e levá-los a revelar seus dados de pagamento.

Outro exemplo citado no relatório foram os sites de reparo de carteiras que alegam consertar produtos Trezor danificados para clientes frustrados. Esses sites falsos coletam palavras-chave de recuperação de carteiras e chaves privadas, fingindo ser suporte técnico. Alguns domínios estão ativos, enquanto outros estão inativos, aguardando ataques direcionados no futuro.

A variedade de métodos de ataque demonstra que o golpe GreedyBear opera por meio de um amplo canal de distribuição, em vez de se concentrar em uma única técnica. Essa abordagem diversificada permite que o grupo altere suas táticas com base no que funciona melhor. A reutilização da infraestrutura em diferentes famílias de malware confirma a coordenação centralizada por trás de todos os componentes da campanha.

Servidor centralizado controla operações globais de roubo

O grupo GreedyBear opera toda a sua organização criminosa através de um único endereço IP: 185.208.156.66. Quase todos os domínios utilizados, incluindo extensões, malwares e sites de phishing, se conectam a este servidor central. Este hub gerencia as comunicações de comando e controle, a coletadent, a coordenação de ataques de ransomware e a hospedagem de sites fraudulentos.

A infraestrutura centralizada permite que os atacantes otimizem as operações em vários canais de ataque de forma eficiente. Os dados de extensões de navegador, infecções por malware e sites afetados convergem para o mesmo ponto de coleta. Essa abordagem simplifica o gerenciamento e, ao mesmo tempo, fornece informações abrangentes sobre os alvos.

A Koi Security descobriu que o grupo já começou a se expandir para além dos navegadores Firefox. Uma extensão maliciosa do Chrome chamada Filecoin Wallet usou métodos de roubo dedentdent​​meses atrás. Essa extensão do Chrome se comunicava com domínios hospedados na mesma infraestrutura de servidor 185.208.156.66.

A conexão confirma que a GreedyBear está testando suas operações em diferentes ecossistemas de navegadores. Chrome, Edge e outros navegadores provavelmente enfrentarão campanhas de extensão semelhantes nos próximos meses. A disposição do grupo em experimentar em diversas plataformas demonstra seu compromisso com a escalabilidade das operações.

De acordo com a análise de código, as ferramentas de IA ajudaram a acelerar o crescimento e a complexidade da campanha. Os artefatos gerados no malware sugerem que a inteligência artificial auxilia na criação e no escalonamento da carga útil. Essa tecnologia permite ciclos de desenvolvimento mais rápidos e melhor evasão dos sistemas de detecção de segurança em diferentes plataformas.