Кампания Greedybear крадет 1 млн долларов с 650 инструментами атаки криптовалюты

Заль, что вредоносная кампания принесла более 1 миллиона долларов в похищенной криптовалюте, используя трифекту типов атак через сотни расширений браузеров, веб -сайтов и вредоносных программ, говорит компания по кибербезопасности KOI Security.

Исследователь безопасности KOI Туваль Адмони заявил в четверг, что злоумышленная группа, которую компания назвала «Greedybear», «переопределенная кража криптовалюты промышленного масштаба».

«Большинство групп выбирают полосу движения – может быть, они делают расширения браузера, или они сосредоточены на вымогательстве, или они запускают мошеннические фишинговые сайты – Greedybear сказал:« Почему не все три? »И это сработало.

Типы атак, предпринимаемые GreedyBear, использовались ранее, но в отчете подчеркивается, что киберпреступники в настоящее время развертывают ряд сложных мошенничества для целевых пользователей криптовалюты, что, по словам Админи, показывает, что мошенники перестали «мыслить маленьким».

Содержание

1. Более 150 фальшивых расширений браузера криптовалют
2. Криптовая тематическая вредоносная программа
3. Сеть веб -сайтов мошенничества

Более 150 фальшивых расширений браузера криптовалют

По словам Адмони, более 1 миллиона долларов было украдено у пользователей криптовалют из более чем 650 вредоносных инструментов, специально предназначенных для пользователей криптовалютных кошелька.

Группа опубликовала более 150 злонамеренных расширений браузера на рынке браузера Firefox, каждый из которых предназначен для выдачи популярных криптовалютных кошельков, таких как Metamask, Tronlink, Exodus и Rabby Wallet.

Злоусовеченные актеры используют методику «пустота разгибания», сначала создавая законные расширения, чтобы обойти чеки рынка, чтобы впоследствии сделать их злонамеренными.

Admoni объяснил, что вредоносные расширения напрямую захватывают учетные данные кошелька из полей пользовательского ввода в фальшивых интерфейсах кошелька.

«Этот подход позволяет GreedyBear обходить безопасность рынка, появляясь законным в ходе первоначального процесса обзора, а затем вооружение установленных расширений, которые уже имеют доверие пользователей и положительные оценки».

Дедди Лавид, генеральный директор фирмы кибербезопасности Cyvers, сказал Cointelegraph, что кампания Greedybear «показывает, как киберпреступники вооружают трастовые пользователи в магазинах для расширения браузера. Клонирование популярных плагинов кошелька, раздувающие обзоры, а затем молча обмениваться в эфирных ущербах».

Злоусовеченное расширение кошелька Исхода. Источник: безопасность KOI

В начале июля безопасность KOI определила 40 злонамеренных расширений Firefox, подозревая российских актеров угроз за тем, что она называла кампанией «Foxy Wallet».

Криптовая тематическая вредоносная программа

Вторая рука атак группы фокусируется на вредоносной программе на тему крипто, из которых безопасность KOI обнаружила почти 500 образцов.

Корта, такие как LummaStealer, специально предназначен для информации о криптовалютном кошельке, в то время как варианты вымогателей, такие как Luca Stearer, предназначены для требовать криптовалютных платежей.

По словам Адми, большая часть вредоносных программ распространяется через российские сайты, предлагающие потрескавшее или пиратское программное обеспечение.

Сеть веб -сайтов мошенничества

Третий вектор атаки в Trifecta-это сеть поддельных веб-сайтов, представляющих крипто-связанные продукты и услуги.

«Это не типичные фишинговые страницы, имитирующие порталы входа в систему – вместо этого они выглядят как гладкие, поддельные целевые страницы продукта, рекламирующие цифровые кошельки, аппаратные устройства или услуги по ремонту кошельков», – отметил Админи.

Связанный: северокорейские хакеры, нацеленные на криптовалютные проекты с необычным эксплойтом Mac

Он сказал, что один сервер выступает в качестве центрального центра для командования и контроля, сбора учетных данных, координации вымогателей и мошеннических веб-сайтов, «позволяя злоумышленникам оптимизировать операции по нескольким каналам».

Один IP -адрес управляет кампанией. Источник: безопасность KOI

Кампания также показывает признаки сгенерированного AI кода, обеспечивая быстрое масштабирование и диверсификацию атак крипто-мишени, представляющих новую эволюцию в киберпреступности, ориентированной на крипто.

«Это не мимолетная тенденция – это новый нормальный», – предупредил Адми.

«Эти атаки используют ожидания пользователей и обходят статическую защиту, внедряя вредоносную логику непосредственно в интерфейсы кошелька», – сказал Лавид, прежде чем добавить: «Это подчеркивает необходимость более сильной проверки поставщиками браузера, прозрачности разработчика и бдительности пользователя».