GreedyBear: в Firefox Marketplace обнаружено 40 поддельных расширений для криптокошельков
Была раскрыта сложная и масштабная киберпреступная кампания GreedyBear, похитившая не менее миллиона долларов у пользователей криптовалюты. Исследование, проведённое компанией Koi Security, специализирующейся на кибербезопасности, и предоставленное Hackread.com, раскрывает высокоорганизованную операцию, выходящую далеко за рамки типичного онлайн-мошенничества .
Вместо того чтобы сосредоточиться на одном типе атак, преступники, стоящие за GreedyBear, используют скоординированный набор вредоносных расширений для браузеров , вредоносного ПО и поддельных веб-сайтов. Эта стратегия позволяет им атаковать с нескольких направлений одновременно, что делает их действия невероятно эффективными.
Один из основных способов деятельности GreedyBear — вредоносные расширения для браузера. Группировка создала более 150 поддельных расширений для торговой площадки Firefox, выдавая себя за популярные криптовалютные кошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet.
Злоумышленники используют хитрый трюк под названием «Extension Hollowing» («подделка расширений»), чтобы обойти проверки безопасности. Сначала они загружают безобидные расширения и, завоевав доверие с помощью поддельных положительных отзывов, «подделывают» расширения, изменяя их названия и значки, а также внедряя вредоносный код, при этом сохраняя историю положительных отзывов.
Второй метод включает в себя почти 500 вредоносных программ или исполняемых файлов, найденных на сайтах, предлагающих пиратское ПО. В число этих вредоносных программ входят программы для кражи учётных данных, предназначенные для кражи ваших учетных данных, и программы-вымогатели, блокирующие ваши файлы и требующие оплаты. Разнообразие этих инструментов показывает, что группировка не ограничивается одним трюком, а использует широкий спектр методов для атаки на жертв.
В-третьих, группа создала десятки поддельных сайтов, выглядящих как легальные криптосервисы или инструменты для восстановления кошельков. Эти сайты предназначены для того, чтобы обманным путём заставить пользователей ввести личную информацию и данные кошелька.
Ключевая деталь, выявленная в ходе исследования Koi Security, заключается в том, что все эти атаки, поддельные расширения, вредоносное ПО и мошеннические веб-сайты подключены к одному центральному серверу ( 185.208.156.66 ). Этот центральный узел позволяет злоумышленникам эффективно управлять своей масштабной операцией.
Исследователи отмечают, что эта кампания, которая начиналась как небольшое начинание, известное как Foxy Wallet, теперь превратилась в серьезную многоплатформенную угрозу, и есть признаки того, что она вскоре может распространиться и на другие браузеры, такие как Chrome и Edge.
Исследователи также отметили , что подобные масштабные автоматизированные преступления, вероятно, стали возможны благодаря новым инструментам искусственного интеллекта, благодаря которым преступникам стало проще и быстрее проводить атаки. Эта новая реальность означает, что для обеспечения безопасности в интернете старых методов защиты уже недостаточно.
HackRead
