Мошенническая схема GreedyBear, распространившаяся через расширения Firefox, украла криптовалюту на сумму 1 миллион долларов: Koi Security

Мошенническая группа GreedyBear украла более 1 миллиона долларов в криптовалюте в результате скоординированной кампании атак.

Компания Koi Security сообщила, что группа запустила 150 вредоносных расширений для Firefox, а также 500 вредоносных исполняемых файлов. В ходе операции использовались поддельные расширения для кошельков, фишинговые веб-сайты и вредоносное ПО для атаки на криптовалют на различных платформах.

Мошеннические расширения для Firefox нацелены на популярные криптовалютные кошельки

Мошенническая группа GreedyBear запустила более 150 вредоносных расширений в магазине Firefox, нацеленных на пользователей криптовалют. Вредоносные расширения имитируют популярные кошельки, такие как MetaMask, Trondentdentdentdentdentdentdentdentпри попытке входа в систему.

Первоначально хакеры создают расширения, выглядящие вполне правдоподобно, например, программы для очистки ссылок и загрузки видео с YouTube, но с ограниченной функциональностью. Имея в своем арсенале 5-7 универсальных утилит с новыми названиями издателей, они, как правило, завоевывают доверие в долгосрочной перспективе.

После того как преступники завоюют доверие благодаря подлинным положительным отзывам, они полностью удаляют эти расширения. Они меняют названия, значки и внедряют вредоносный код, но сохраняют исходную историю положительных отзывов. Этот метод позволяет вредоносным расширениям выглядеть заслуживающими доверия в глазах новых пользователей, просматривающих магазин расширений.

Расширения работают как инструменты для полученияdentданных кошелька из полей ввода во всплывающих окнах. Украденная информация передается на удаленные серверы, контролируемые преступной группировкой, для последующего использования. Расширения также передают IP-адреса жертв при запуске для trac.

Эта акция является продолжением предыдущей активности Foxy Wallet, в ходе которой былоdent40 вредоносных расширений. Масштаб расследования теперь более чем вдвое превышает первоначальный случай. Сообщения пользователей подтверждают, что жертвы потеряли значительную часть криптовалюты, используя эти поддельные расширения кошелька в течение различных периодов времени.

Многоплатформенная атака сочетает в себе вредоносное ПО и мошеннические веб-сайты

GreedyBear Мошенническая группа использует около 500 вредоносных исполняемых файлов для Windows, а также проводит кампанию по распространению расширений для браузеров. Эти программы распространяются через российские веб-сайты, которые распространяют взломанное и пиратское программное обеспечение ничего не подозревающим пользователям. Коллекция вредоносных программ охватывает множество категорий угроз для достижения максимального потенциального ущерба.

dent-вымогатели, такие как LummaStealer, нацелены на информацию из криптокошельков, хранящуюся на компьютерах жертв. Варианты программ-вымогателей шифруют файлы пользователей и требуют выплаты в криптовалюте за ключи расшифровки. Обычные трояны предоставляют бэкдор для доставки дополнительной полезной нагрузки при необходимости.

Группа также поддерживает инфраструктуру сайтов-мошенников, имитирующих криптосервисы, для кражи данных. Мошеннические сайты выглядят как легитимные криптосервисы и не являются типичными фишинговыми страницами. Аппаратные кошельки под брендом Jupiter также содержат поддельные макеты интерфейса, созданные для того, чтобы обманом заставить потенциальных покупателей раскрыть платежные данные.

В качестве еще одного примера в отчете были приведены веб-сайты по ремонту кошельков, которые утверждают, что чинят поврежденные продукты Trezor недовольным клиентам. Эти сайты-мошенники собирают коды восстановления кошельков и закрытые ключи, выдавая себя за техническую поддержку. Некоторые домены активны, другие же находятся в спящем режиме, ожидая целенаправленных атак в будущем.

Разнообразие методов атаки показывает, что мошенническая схема GreedyBear использует широкую сеть распространения, а не фокусируется на какой-либо одной технике. Такой диверсифицированный подход позволяет группе менять тактику в зависимости от того, что работает лучше всего. Повторное использование инфраструктуры в различных семействах вредоносных программ подтверждает централизованную координацию всех компонентов кампании.

Централизованный сервер контролирует глобальные операции по краже

Компания GreedyBear управляет всей своей преступной деятельностью через единый IP-адрес 185.208.156.66. Практически все домены, используемые в различных расширениях, вредоносных программах и фишинговых сайтах, подключаются к этому центральному серверу. Этот центр отвечает за связь с командно-контрольным центром, сборdentданных, координацию действий программ-вымогателей и размещение мошеннических веб-сайтов.

Централизованная инфраструктура позволяет злоумышленникам эффективно оптимизировать операции по нескольким каналам атаки. Данные из расширений браузеров, вредоносных программ и веб-сайтов поступают в одну точку сбора. Такой подход упрощает управление, обеспечивая при этом исчерпывающую информацию о целевых жертвах.

Компания Koi Security обнаружила, что группа уже начала расширять свою деятельность за пределы браузера Firefox. Вредоносное расширение для Chrome под названием Filecoin Wallet использовалоdentметоды кражиdentданных несколько месяцев назад. Это расширение для Chrome взаимодействовало с доменами, размещенными на той же серверной инфраструктуре 185.208.156.66.

Эта связь подтверждает, что GreedyBear тестирует свои операции в различных браузерных экосистемах. Chrome, Edge и другие браузеры, вероятно, столкнутся с аналогичными кампаниями по распространению расширений в ближайшие месяцы. Готовность группы экспериментировать на разных платформах демонстрирует ее стремление к масштабированию операций.

Согласно анализу кода, инструменты искусственного интеллекта способствовали ускорению роста и усложнению кампании. Сгенерированные артефакты в вредоносном ПО указывают на то, что искусственный интеллект помогает в создании и масштабировании полезной нагрузки. Эта технология позволяет ускорить циклы разработки и лучше обходить системы обнаружения угроз на различных платформах.