GreedyBear: 40 extensões falsas de carteira de criptomoedas encontradas no Firefox Marketplace
Uma campanha sofisticada e de larga escala de crimes cibernéticos, chamada GreedyBear, foi exposta por roubar pelo menos um milhão de dólares de usuários de criptomoedas. A pesquisa, realizada pela empresa de segurança cibernética Koi Security e compartilhada com o Hackread.com, revela uma operação altamente organizada que vai muito além dos golpes online típicos.
Em vez de se concentrar em um único tipo de ataque, os criminosos por trás do GreedyBear estão usando uma combinação coordenada de extensões maliciosas de navegador , software malicioso e sites falsos. Essa estratégia permite que eles ataquem de vários ângulos ao mesmo tempo, tornando sua operação incrivelmente eficaz.
Uma das principais formas de atuação do GreedyBear é por meio de extensões maliciosas para navegadores. O grupo criou mais de 150 extensões falsas para o Firefox, fingindo ser carteiras de criptomoedas populares como MetaMask, TronLink, Exodus e Rabby Wallet.
Os invasores usam um truque inteligente chamado "Extension Hollowing" para driblar as verificações de segurança. Primeiro, eles carregam extensões inofensivas e, após ganhar credibilidade com avaliações positivas falsas, esvaziam as extensões alterando seus nomes e ícones e injetando código malicioso, tudo isso mantendo o histórico de avaliações positivas.
O segundo método envolve quase 500 programas maliciosos, ou executáveis, encontrados em sites que oferecem software pirata. Esses programas nocivos incluem ladrões de credenciais , projetados para roubar suas informações de login, e ransomware, que bloqueia seus arquivos e exige um pagamento. A variedade dessas ferramentas mostra que o grupo não é apenas um pônei de um truque só, mas possui uma ampla gama de métodos para atingir suas vítimas.
Em terceiro lugar, o grupo criou dezenas de sites falsos que se parecem com serviços legítimos de criptomoedas ou ferramentas de reparo de carteiras. Esses sites são projetados para induzir os usuários a inserir informações pessoais e detalhes de carteiras.
Um detalhe importante revelado pela pesquisa da Koi Security é que todos esses ataques, as extensões falsas, o malware e os sites fraudulentos, estão todos conectados a um único servidor central ( 185.208.156.66 ). Esse hub central permite que os invasores gerenciem suas operações em larga escala com grande eficiência.
Os pesquisadores observam que esta campanha, que começou como um esforço menor conhecido como Foxy Wallet, agora se tornou uma grande ameaça multiplataforma, com sinais de que pode em breve se expandir para outros navegadores, como Chrome e Edge.
Os pesquisadores também observaram que esse tipo de crime automatizado em larga escala provavelmente é possível graças às novas ferramentas de IA, que tornam os ataques mais rápidos e fáceis do que nunca para os criminosos. Essa nova realidade significa que confiar em métodos de segurança antigos não é mais suficiente para se manter seguro online.
HackRead
