Группу киберпреступников под названием GreedyBear обвиняют в краже более 1 миллиона долларов. По словам исследователей, это одна из самых масштабных операций по хищению криптовалют за последние месяцы.
Отчёт Koi Security
Отчёты компании Koi Security показывают, что группа проводит скоординированную кампанию, которая включает в себя вредоносные расширения для браузеров, вредоносное ПО и мошеннические веб-сайты — всё это работает в рамках одной сети.
Расширения, превращённые в инструменты для кражи кошельков
Группа GreedyBear не сосредотачивается на одном методе. По словам исследователя Koi Security Тувала Адмони, группа использовала более 650 вредоносных инструментов в своей последней кампании. Это резко отличается от их более ранней операции «Foxy Wallet» в июле, которая включала 40 расширений для Firefox.
Тактика группы, называемая «Extension Hollowing», начинается с публикации внешне чистых дополнений для Firefox, таких как загрузчики видео или очистители ссылок. Эти расширения, выпущенные под новыми учётными записями издателей, собирают фальшивые положительные отзывы, чтобы выглядеть надёжными. Позже их заменяют вредоносными версиями, выдающими себя за кошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet.
После установки они захватывают учётные данные из полей ввода и отправляют их на серверы управления GreedyBear.
Вредоносное ПО, скрытое в пиратском программном обеспечении
Следователи также связали с этой группой почти 500 вредоносных файлов для Windows. Многие из них принадлежат к известным семействам вредоносных программ, таким как LummaStealer, программы-вымогатели, аналогичные Luca Stealer, и трояны, действующие как загрузчики для других вредоносных программ.
Распространение часто происходит через русскоязычные сайты, на которых размещено взломанное или «перепакованное» программное обеспечение. Ориентируясь на тех, кто ищет бесплатное программное обеспечение, злоумышленники выходят далеко за пределы криптосообщества.
Модульное вредоносное ПО
Koi Security также обнаружила модульное вредоносное ПО, в котором операторы могут добавлять или заменять функции, не развёртывая полностью новые файлы.
Мошеннические веб-сайты
Помимо атак на браузеры и вредоносного ПО, GreedyBear создала мошеннические веб-сайты, выдающие себя за настоящие решения для криптовалют. Некоторые из них предлагают аппаратные кошельки, а другие — услуги по ремонту кошельков для таких устройств, как Trezor.
Также представлены поддельные приложения для кошельков с хорошим дизайном, которые обманом заставляют пользователей вводить фразы восстановления, приватные ключи и платёжную информацию.
В отличие от стандартных фишинговых сайтов, которые копируют страницы входа на биржи, эти мошеннические страницы больше похожи на продуктовые или сервисные порталы.
Отчёты показывают, что некоторые из них остаются активными и продолжают собирать конфиденциальные данные, в то время как другие находятся в режиме ожидания для будущего использования.
Следователи обнаружили, что почти все домены, связанные с этими операциями, ведут на один IP-адрес — 185.208.156.66. Этот сервер действует как центр кампании, обрабатывая украденные учётные данные, координируя действия программ-вымогателей и размещая мошеннические сайты.
Не является инвестиционной рекомендацией.