Российская киберпреступная группа GreedyBear украла более 1 миллиона долларов в криптовалюте всего за пять недель. Группа достигла этого, создав более 150 вредоносных расширений для Firefox, которые выдают себя за популярные криптокошельки, такие как MetaMask и TronLink.
Согласно данным охранной фирмы Koi Security, эта кампания представляет собой новый уровень кражи криптовалюты, «промышленного масштаба».
Хакерская группа GreedyBear, связанная с российскими киберпреступниками, украла более 1 миллиона долларов (1,55 миллиона австралийских долларов) в криптовалюте, нацелившись на пользователей кошельков MetaMask и TronLink через вредоносные расширения Firefox.
Эти поддельные дополнения, созданные для того, чтобы выглядеть легитимными, компрометировали кошельки после установки. Более того, следователи говорят, что злоумышленники использовали вредоносное ПО с поддержкой искусственного интеллекта для кражи учётных данных — тактика, о которой ранее предупреждала собственная команда MetaMask по безопасности.
Группа, по сообщениям, использовала более 650 вредоносных инструментов, включая 150 поддельных браузерных расширений, что подчёркивает, как атаки на основе браузера могут обходить традиционные средства защиты.
Новый стандарт для киберпреступников
Похоже, что GreedyBear поднимает планку для киберпреступности, не нацеливаясь на крупные криптосайты, а действуя как компания из списка Fortune 500, по крайней мере, по словам исследователя Koi Security Тувала Адмони.
Адмони сказал, что подход группы отличается от нормы, сочетая три различных метода атаки, а не сосредотачиваясь на одном векторе.
Было выявлено более 650 вредоносных инструментов, включая более 150 поддельных расширений Firefox, выдающих себя за кошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet.
Используя тактику «Extension Hollowing», GreedyBear сначала публикует легитимные расширения, чтобы пройти проверку безопасности, а затем внедряет вредоносный код, который захватывает учётные данные кошелька через поддельные интерфейсы.
Почти все домены — в расширениях, исполняемых файлах (EXE) и на фишинговых сайтах — относятся к одному IP-адресу: 185.208.156.66. Этот сервер действует как центральный узел для управления и контроля (C2), сбора учётных данных, координации программ-вымогателей и мошеннических веб-сайтов, позволяя злоумышленникам оптимизировать операции по различным каналам.
Koi Security
Источник: Koi Security
Новая норма (с учётом ИИ)
Второй уровень атаки основан на почти 500 образцах вредоносного ПО, включая LummaStealer для сбора данных кошелька и программы-вымогатели, такие как Luca Stealer (вредонос на основе Rust с открытым исходным кодом), требующие выплаты в криптовалюте.
Они в основном распространяются через российские сайты, предлагающие пиратское или взломанное программное обеспечение.
Последний компонент — это сеть мошеннических сайтов, представленных как легитимные услуги кошелька, поставщики аппаратных устройств или платформы для ремонта.
Также есть доказательства использования кода, сгенерированного с помощью ИИ, в рамках кампании, что указывает на ускорение циклов разработки и быстрое масштабирование типов атак. Это означает эскалацию киберпреступности, ориентированной на криптовалюту.
Адмони предупредил, что такие смешанные стратегии представляют собой «новую норму» в сфере угроз, подчеркнув острую необходимость более тщательной проверки магазинов расширений, прозрачности разработчиков и повышения бдительности пользователей.
Не является инвестиционной рекомендацией.