“Група суб’єктів загрози криптовалют, який отримав назву “Greedybear”, викрала понад 1 мільйон доларів, що дослідники описують як промислову кампанію, що охоплює зловмисні розширення браузера, зловмисне програмне забезпечення та афери. Як повідомляється, підсумок GreedyBear викрав понад 1 мільйон доларів за допомогою шкідливих розширень, зловмисних програм та афери. Ідентифіковано понад 650 шкідливих інструментів, орієнтованих на користувачів гаманця криптовалюти”, – Напишіть: www.crypto.news
Група суб’єктів загрози криптовалют, який отримав назву “Greedybear”, викрала понад 1 мільйон доларів, що дослідники описують як промислову кампанію, що охоплює зловмисні розширення браузера, зловмисне програмне забезпечення та афери.
Резюме
- Як повідомляється, GreedyBear викрав понад 1 мільйон доларів за допомогою шкідливих розширень, зловмисних програм та афери.
- Більше 650 шкідливих інструментів, орієнтованих на користувачів криптовалюти, були ідентифіковані в кампанії.
- Дослідники виявили ознаки коду, поподіеного AI, використовувались для масштабування та диверсифікації атак.
Greedybear має “переосмислену криптовалюту промисловості”, за словами дослідника безпеки KOI Туваль Адмальті, який заявив, що підхід групи поєднує численні перевірені методи атаки в одну координовану операцію.
У той час як більшість кіберзлочинних нарядів спеціалізуються на одному векторі, наприклад, фішинг, викуп або підроблені розширення, GreedyBear переслідував усі три одночасно у великих масштабах.
Отримані результати приходять через кілька днів після того, як фірма з безпеки Blockchain Peckshield повідомила про різке зростання криптовалют у липні, коли погані актори вкрали приблизно 142 мільйони доларів на 17 основних інцидентів.
Зловмисні розширення браузера
Розслідування Koi Security виявило, що поточна кампанія GreedyBear вже розгорнула понад 650 шкідливих інструментів, спрямованих на користувачів криптовалюти.
Admenti зазначив, що це позначає ескалацію від попередньої кампанії “Foxy Wallet” групи, яка в липні викрила 40 шкідливих розширень Firefox.
Група використовує техніку KOI, яка називає “розгинання”, щоб обходити перевіри ринку та отримати довіру користувачів.
Оператори вперше публікують нешкідливі розширення Firefox-такі як дезінфікуючі засоби або завантажувачі відео-під новими обліковими записами видавця. Потім вони підкладені фальшивими позитивними відгуками, перш ніж перетворитись на інструменти, що перешкоджають гаманцям, орієнтовані на метамаску, Tronlink, Exodus та Rabby Wallet.
Після зброї, розширення врожаю облікові дані безпосередньо з полів введення користувачів та передають їх на сервер командування та контролю GreedyBear.
Крім розширень, дослідники виявили майже 500 шкідливих виконань Windows, пов’язаних з тією ж інфраструктурою.
Ці файли охоплюють декілька сімей зловмисного програмного забезпечення, включаючи крадіжки облікових даних, такі як Lummastealer, варіанти викупного програмного забезпечення, що нагадують Luca Stealer, та загальні троянці, ймовірно, виступають навантажувачами для інших корисних навантажень.
Koi Security зазначив, що багато з цих зразків з’являються в трубопроводах розповсюдження шкідливих програм, розміщених на російських веб-сайтах, які пропонують зламане, піратське або “перепакуване” програмне забезпечення. Цей метод розповсюдження не тільки розширює охоплення групи до менш уважних до безпеки, але й дозволяє їм насіння інфекцій за межі криптовалютної аудиторії.
Дослідники також виявили зразки зловмисного програмного забезпечення, які продемонстрували модульні можливості, припускаючи, що оператори можуть оновлювати корисні навантаження або замінити функції без розгортання абсолютно нового зловмисного програмного забезпечення.
Служби криптовалют SCAM
Паралельно з цими зловмисними програмами, GreedyBear підтримує мережу веб -сайтів афери, які представляють себе за продукти та послуги з криптовалют. Ці веб -сайти розроблені для збору конфіденційної інформації від нічого не підозрюючих користувачів.
Koi Security знайшов фальшиві цільові сторінки рекламні апаратні гаманці та фальшиві послуги з ремонту гаманця, які стверджують, що виправляють популярні пристрої, такі як Trezor. Було виявлено, що інші сторінки сприяють підробленим цифровим гаманцям або криптовалютам, все з професійним дизайном.
На відміну від традиційних фішинг -сайтів, які імітують сторінки для входу в обмін, ці афери представлені як вітрини продуктів або послуги підтримки. Відвідувачів заманюють вводити фрази відновлення гаманця, приватні ключі, платіжну інформацію або інші конфіденційні дані, які зловмисники потім піднімають для подальших крадіжок або шахрайства з кредитними картками.
Дослідження Кой показало, що деякі з цих доменів все ще активні та збирають дані, а інші виявилися спокійними, але готовими до активації в майбутніх кампаніях.
Центральний вузол
Крім того, KOI встановив, що майже всі домени, підключені до розширень, зловмисних програм, зловмисних програм та афери, вирішуються на одну IP -адресу – 185.208.156.66.
Цей сервер функціонує як центр командування та контролю операції, управління колекцією облікових даних, координації викупів та хостингу для шахрайських веб-сайтів. Під час консолідації операцій на одній інфраструктурі група здатна відстежувати жертв, коригувати корисні навантаження та розповсюджувати викрадені дані з більшою швидкістю та ефективністю.
За словами Artimi, також були ознаки “артефактів, що генеруються AI”, знайдені в коді кампанії, що робить його “швидшим і простішим, ніж будь-коли, зловмисникам масштабувати операції, диверсифікувати корисні навантаження та виявлення”.
“Це не тенденція, що проходить – це нова нормальна. Оскільки зловмисники озвучують себе все більш здібним ШІ, захисники повинні реагувати на однаково просунуті інструменти безпеки та інтелект”, – сказав Адмоні.