Вопрос о том, что произойдет, когда киберпреступники перестанут мыслить скромно и начнут действовать как компании из списка Fortune 500, больше не риторический. Группа GreedyBear наглядно продемонстрировала ответ, выведя кражу криптовалют на принципиально новый уровень.
Злоумышленники создали масштабную инфраструктуру, включающую более 150 вредоносных расширений для Firefox, около 500 зараженных исполняемых файлов и десятки фишинговых сайтов. Результатом их деятельности стали хищения на сумму свыше миллиона долларов.
Методы взлома
GreedyBear использует сложную тактику, которую исследователи называют «опустошением расширений». Вместо того чтобы сразу загружать вредоносный код, злоумышленники сначала публикуют безобидные, но бесполезные расширения, такие как загрузчики YouTube или очистители ссылок. Затем они накручивают положительные отзывы, создавая видимость надежности. После этого расширения модифицируются: меняются названия, иконки, а в код внедряются вредоносные функции. Поскольку история отзывов сохраняется, такие дополнения продолжают выглядеть легитимными, обходя защитные механизмы магазина Firefox.
Кибершпионы атакуют компании через уязвимости в WinRAR
Вредоносные расширения перехватывают данные криптокошельков прямо из полей ввода и передают их на серверы злоумышленников. Помимо этого, группа развернула сеть фишинговых сайтов, маскирующихся под страницы популярных криптовалютных сервисов. В отличие от традиционных поддельных страниц входа, эти ресурсы имитируют рекламные лендинги цифровых кошельков, аппаратных устройств или даже услуг по «ремонту» кошельков, вынуждая пользователей вводить конфиденциальные данные.
Хакеры могут взломать видеокарту Nvidia
Особенностью кампании стала ее исключительная централизация. Почти все домены, связанные с расширениями, вредоносными EXE-файлами и фишинговыми сайтами, ведут на один IP-адрес — 185.208.156.66. Этот сервер выполняет роль командного центра, координирующего сбор данных, распространение ransomware и управление мошенническими ресурсами.
Анализ кода показал, что злоумышленники активно используют инструменты на основе искусственного интеллекта. Это позволяет им быстро масштабировать операции, диверсифицировать вредоносные нагрузки и уклоняться от обнаружения. Как отмечают исследователи, подобные методы становятся новой нормой в мире киберпреступности, требуя от защитных систем принципиально иного уровня реагирования.
Потенциальная угроза для россиян
Российские пользователи и компании, имеющие криптовалютные счета, также могут оказаться в зоне повышенного риска. Учитывая, что часть вредоносных EXE-файлов распространяется через сайты с пиратским ПО, российская аудитория уже могла стать мишенью атак. Более того, исследователи предполагают, что GreedyBear тестирует или готовит аналогичные кампании для других платформ, включая Chrome и Edge, что потенциально расширит географию их деятельности.
GreedyBear создала полноценную и принципиально новую систему для совершения преступлений. В ней гармонично сочетаются техническая изощренность и грамотный менеджмент, а в сочетании с удачно найденным подходом к жертвам, традиционные средства защиты больше не могут гарантировать полной безопасности. В условиях, когда злоумышленники активно используют ИИ и многоуровневые схемы обмана, единственным эффективным ответом может стать столь же комплексный и технологичный подход к киберзащите.