Gruppo di Truffa di Criptovaluta GreedyBear Ruba Oltre $1m Utilizzando Estensioni False e Malware
Un gruppo di attori di minacce di criptovalute soprannominato "GreedyBear" ha rubato oltre 1 milione di dollari in quella che i ricercatori descrivono come una campagna su scala industriale che comprende estensioni del browser dannose, malware e siti web di truffa.
- GreedyBear avrebbe rubato oltre 1 milione di dollari attraverso estensioni dannose, malware e siti web di truffa.
- Nella campagna sono stati identificati più di 650 strumenti dannosi che prendono di mira gli utenti di portafogli di criptovalute.
- I ricercatori hanno trovato segni di codice generato da IA utilizzato per scalare e diversificare gli attacchi.
GreedyBear ha "ridefinito il furto di criptovalute su scala industriale", secondo il ricercatore di Koi Security Tuval Admoni, che ha affermato che l'approccio del gruppo combina molteplici metodi di attacco comprovati in un'unica operazione coordinata.
Mentre la maggior parte delle organizzazioni criminali informatiche si specializza in un singolo vettore, come il phishing, il ransomware o le estensioni false, GreedyBear ha perseguito tutti e tre contemporaneamente su larga scala.
I risultati arrivano pochi giorni dopo che la società di sicurezza blockchain PeckShield ha segnalato un forte aumento dei crimini legati alle criptovalute a luglio, con attori malintenzionati che hanno rubato circa 142 milioni di dollari in 17 gravi incidenti.
Estensioni del browser dannose
L'indagine di Koi Security ha rilevato che l'attuale campagna di GreedyBear ha già distribuito più di 650 strumenti dannosi che prendono di mira gli utenti di portafogli di criptovalute.
Admoni ha notato che questo segna un'escalation rispetto alla precedente campagna "Foxy Wallet" del gruppo, che a luglio ha esposto 40 estensioni Firefox dannose.
Il gruppo utilizza una tecnica che Koi chiama "Extension Hollowing" per aggirare i controlli del marketplace e guadagnare la fiducia degli utenti.
Gli operatori pubblicano prima estensioni Firefox dall'aspetto innocuo — come sanitizzatori di link o downloader di video — sotto nuovi account di publisher. Queste vengono poi arricchite con false recensioni positive prima di essere convertite in strumenti che impersonano portafogli e prendono di mira MetaMask, TronLink, Exodus e Rabby Wallet.
Una volta armate, le estensioni raccolgono le credenziali direttamente dai campi di input dell'utente e le trasmettono al server di comando e controllo di GreedyBear.
Malware per criptovalute
Oltre alle estensioni, i ricercatori hanno trovato quasi 500 eseguibili Windows dannosi legati alla stessa infrastruttura.
Questi file comprendono molteplici famiglie di malware, inclusi ladri di credenziali come LummaStealer, varianti di ransomware simili a Luca Stealer e trojan generici che probabilmente fungono da caricatori per altri payload.
Koi Security ha notato che molti di questi campioni appaiono in pipeline di distribuzione di malware ospitate su siti web in lingua russa che offrono software craccato, piratato o "riconfezionato". Questo metodo di distribuzione non solo amplia la portata del gruppo verso utenti meno attenti alla sicurezza, ma consente anche di diffondere infezioni oltre il pubblico nativo delle criptovalute.
I ricercatori hanno anche trovato campioni di malware che dimostravano capacità modulari, suggerendo che gli operatori possono aggiornare i payload o scambiare funzioni senza distribuire malware completamente nuovi.
Servizi di truffa di criptovalute
Parallelamente a queste operazioni di malware, GreedyBear mantiene una rete di siti web di truffa che impersonano prodotti e servizi di criptovalute. Questi siti web sono progettati per raccogliere informazioni sensibili da utenti ignari.
Koi Security ha trovato false landing page che pubblicizzano portafogli hardware e falsi servizi di riparazione di portafogli che affermano di riparare dispositivi popolari come Trezor. Altre pagine promuovevano falsi portafogli digitali o utilità crypto, tutti con un design di livello professionale.
A differenza dei tradizionali siti di phishing che imitano le pagine di accesso degli exchange, queste truffe si presentano come vetrine di prodotti o servizi di supporto. I visitatori vengono indotti a inserire frasi di recupero del portafoglio, chiavi private, informazioni di pagamento o altri dati sensibili, che gli attaccanti poi esfiltrano per furti successivi o frodi con carte di credito.
L'indagine di Koi ha rilevato che alcuni di questi domini erano ancora attivi e raccoglievano dati, mentre altri sembravano dormienti ma pronti per l'attivazione in future campagne.
Un nodo centrale
Inoltre, Koi ha scoperto che quasi tutti i domini collegati alle estensioni, al malware e ai siti web di truffa di GreedyBear si risolvono in un unico indirizzo IP — 185.208.156.66.
Questo server funziona come hub di comando e controllo dell'operazione, gestendo la raccolta di credenziali, il coordinamento del ransomware e l'hosting per siti web fraudolenti. Consolidando le operazioni su un'unica infrastruttura, il gruppo è in grado di tracciare le vittime, regolare i payload e distribuire i dati rubati con maggiore velocità ed efficienza.
Secondo Admoni, sono stati trovati anche segni di "artefatti generati da IA" all'interno del codice della campagna, che rendono "più veloce e facile che mai per gli attaccanti scalare le operazioni, diversificare i payload ed eludere il rilevamento."
"Questa non è una tendenza passeggera — è la nuova normalità. Mentre gli attaccanti si armano con IA sempre più capaci, i difensori devono rispondere con strumenti di sicurezza e intelligence altrettanto avanzati," ha affermato Admoni.
Potrebbe anche piacerti
FICO Collabora con Banzai per Portare l'Educazione al Credito a Milioni di Studenti in Tutto il Paese
Le Tensioni con l'Iran Innescano un Importante Rally dei Prezzi del Gas Europeo mentre le Rotte GNL Affrontano Interruzioni
