1. Введение
Киберпреступная группа, известная как “GreedyBear”, похитила более 1 миллиона долларов в криптовалюте в ходе многогранной и масштабной атаки, сообщила компания по кибербезопасности Koi Security.
2. В отличие от большинства киберпреступников, которые сосредоточены на одной тактике, GreedyBear атакует, используя три разных направления в тандеме, что делает это преступление чрезвычайно скоординированным
К таким методам относятся поддельные расширения для кошельков в браузерах, вредоносные программы, нацеленные на криптографию, и мошеннические веб-сайты.
По словам исследователя Koi в области безопасности Тувала Адмони, “Большинство групп выбирают другой путь — возможно, они используют расширения для браузера, программы-вымогатели или фишинговые сайты. GreedyBear сказал: "Почему не все три?’ И это сработало. Впечатляюще”. Адмони сообщил, что группа использовала более 650 вредоносных инструментов, нацеленных на пользователей криптовалютных кошельков, похитив при этом более 1 миллиона долларов.
Поддельные расширения для кошельков, вредоносные программы и мошеннические сайты
Группа опубликовала более 150 поддельных расширений для браузера криптовалютных кошельков на Firefox Marketplace. Они копируют популярные кошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet.
На первый взгляд, расширения безопасны для прохождения проверки Firefox. После одобрения и получения доверия пользователей злоумышленники обновляют их вредоносным кодом для кражи паролей кошельков и приватных ключей непосредственно из интерфейса кошелька.
GreedyBear также распространил около 500 вредоносных программ, нацеленных на кражу криптовалюты. К ним относятся программы для кражи паролей, такие как LummaStealer, которые крадут информацию о кошельках, и программы-вымогатели, такие как Luca Stealer, которые шифруют устройства до тех пор, пока жертвы не совершат платежи в криптовалюте. Многие из этих вредоносных файлов распространяются через российские веб-сайты, предлагающие пиратское или взломанное программное обеспечение.
Их третья часть - это система веб-сайтов, имитирующих криптопродукцию. Они не только имитируют страницы входа в систему, но и должны напоминать настоящие целевые страницы для цифровых кошельков, аппаратных устройств или сервисов по ремонту кошельков. На самом деле это приманки для сбора конфиденциальных данных у ничего не подозревающих посетителей.
3.Итог
Единый центр управления
Все эти атаки отслеживаются с помощью одного сервера и IP-адреса. Он контролирует украденную информацию, облегчает запросы программ-вымогателей и поддерживает мошеннические веб-сайты. Эксперты также полагают, что GreedyBear использует код, созданный с помощью искусственного интеллекта, для ускорения создания новых атак, что затрудняет их блокировку.
Эксперты по кибербезопасности предупреждают, что это может стать “новой нормой” в краже криптовалют, призывая к более строгим проверкам безопасности хранилища расширений, большей прозрачности со стороны разработчиков и особой осторожности со стороны пользователей перед установкой расширений или загрузкой программного обеспечения.