Новый отчет описывает GreedyBear как скоординированную, промышленную по масштабам киберкaмпанию, нацеленную на пользователей криптовалют. По данным исследования, злоумышленники развернули порядка 650 инструментариев атаки в единой инфраструктуре, объединяющей вредоносные браузерные расширения, исполняемые файлы Windows и мошеннические веб‑сайты. Это указывает на переход от разрозненных инцидентов к многовекторной централизованной операции.
Ключевые находки
- Вредоносные расширения Firefox: выявлено более 150 дополнений, маскирующихся под известные кошельки — MetaMask, TronLink, Exodus, Rabby Wallet — для фишинга учётных данных и секретных ключей через поддельные интерфейсы.
- Windows‑исполняемые файлы: почти 500 вредоносных исполняемых файлов, относящихся к одной и той же инфраструктуре и представляющих несколько семейств вредоносного ПО, что свидетельствует о диверсифицированной стратегии полезной нагрузки.
- Мошеннические веб‑сайты: поддельные целевые страницы, выдающие себя за легитимные криптопродукты, аппаратные кошельки и сервисы по ремонту кошельков — расширяют область атак за пределы ПО и расширений.
- Централизованная инфраструктура: почти все домены разрешаются в один IP‑адрес, что указывает на строго контролируемую плоскость управления, координирующую различные каналы доставки.
- Связь с предыдущей активностью: кампания, вероятно, эволюционировала из деятельности под эгидой Foxy Wallet (первоначально выявлено 40 вредоносных расширений Firefox).
- Кросс‑браузерное расширение: вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи и взаимодействовало с тем же сервером (домен, размещённый на 185.208.156.66).
- Мониторинг образцов: VirusTotal отслеживает эти образцы в общей экосистеме управления, подчёркивая централизованный характер операций.
Механизмы атаки
Операция использует многоканальную модель доставки: фейковые браузерные расширения предлагают пользователю ввести seed‑фразы или логин/пароль в поддельном UI; вредоносные exe‑файлы предназначены для выполнения широкого набора задач в разных средах; мошеннические сайты действуют как ловушки для привлечения трафика и фишинга. Такая комбинация позволяет атакующим повышать охват и вероятность компрометации активов жертв.
«Инфраструктура выглядит в высшей степени централизованной — почти все домены разрешаются по одному IP‑адресу», — отмечает исследование, что указывает на жёстко контролируемую плоскость управления.
Тенденции и усиление угроз
Авторы отчета связывают рост централизованных, многопользовательских браузерных систем с более широкой тенденцией внедрения инструментов с поддержкой искусственного интеллекта. AI позволяет увеличить объём, скорость и сложность атак — от автоматизированной генерации фишинговых страниц до масштабного управления полезной нагрузкой — что усложняет задачу защитников и повышает риски утрат средств у пользователей криптосферы.
Риски для пользователей и организаций
- Высокая вероятность кражи seed‑фраз и приватных ключей через поддельные расширения и сайты.
- Множественные семейства вредоносов повышают шансы обхода антивирусных детекторов и затрудняют инцидент‑респонс.
- Централизация инфраструктуры создает единые точки отказа и, одновременно, высокую координацию атак, что увеличивает масштаб ущерба при компрометации.
- Применение AI‑инструментов ускоряет распространение и адаптацию злоумышленников.
Рекомендации
- Проверять подлинность расширений: устанавливать только из официальных источников и проверять отзывы, количество установок и разработчика.
- Использовать hardware wallets для хранения больших сумм и не вводить seed‑фразы в браузере.
- Ограничить привилегии исполняемых файлов и использовать Application Whitelisting в корпоративной среде.
- Мониторить сетевые аномалии и домены, связанные с единственным IP (например, 185.208.156.66), для раннего обнаружения инфраструктуры атакующих.
- Регулярно проверять репутацию расширений и бинарников через VirusTotal и другие источники threat intelligence.
Вывод
GreedyBear демонстрирует, насколько быстро эволюционируют угрозы в криптопространстве: комбинирование вредоносных расширений, исполняемых файлов и мошеннических сайтов под единым управлением превращает фишинговые операции в промышленно организованные кампании. Защитникам и пользователям необходимо учитывать не только отдельные векторы, но и координированный характер атак, повышая контроль источников расширений, практики хранения ключей и возможности мониторинга инфраструктуры вредоносных операторов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GreedyBear: централизованная многовекторная кампания против пользователей криптовалют".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.