Grupa oszustów kryptowalutowych GreedyBear kradnie ponad 1 mln $ używając fałszywych rozszerzeń i złośliwego oprogramowania
Grupa cyberprzestępców kryptowalutowych znana jako "GreedyBear" ukradła ponad 1 milion dolarów w ramach tego, co badacze opisują jako kampanię na skalę przemysłową obejmującą złośliwe rozszerzenia przeglądarek, złośliwe oprogramowanie i fałszywe strony internetowe.
- GreedyBear podobno ukradł ponad 1 milion dolarów za pomocą złośliwych rozszerzeń, złośliwego oprogramowania i fałszywych stron internetowych.
- W kampanii zidentyfikowano ponad 650 złośliwych narzędzi skierowanych przeciwko użytkownikom portfeli kryptowalutowych.
- Badacze znaleźli ślady kodu generowanego przez AI, używanego do skalowania i dywersyfikacji ataków.
GreedyBear "zredefiniował kradzież kryptowalut na skalę przemysłową", według badacza Koi Security Tuvala Admoniego, który stwierdził, że podejście grupy łączy wiele sprawdzonych metod ataku w jedną skoordynowaną operację.
Podczas gdy większość grup cyberprzestępczych specjalizuje się w jednym wektorze ataku, takim jak phishing, ransomware lub fałszywe rozszerzenia, GreedyBear realizuje wszystkie trzy jednocześnie na dużą skalę.
Ustalenia pojawiają się zaledwie kilka dni po tym, jak firma zajmująca się bezpieczeństwem blockchain, PeckShield, zgłosiła gwałtowny wzrost przestępczości kryptowalutowej w lipcu, gdzie przestępcy ukradli około 142 miliony dolarów w 17 poważnych incydentach.
Złośliwe rozszerzenia przeglądarek
Dochodzenie Koi Security wykazało, że obecna kampania GreedyBear wdrożyła już ponad 650 złośliwych narzędzi skierowanych przeciwko użytkownikom portfeli kryptowalutowych.
Admoni zauważył, że stanowi to eskalację w porównaniu z wcześniejszą kampanią grupy "Foxy Wallet", która w lipcu ujawniła 40 złośliwych rozszerzeń Firefox.
Grupa używa techniki, którą Koi nazywa "Extension Hollowing" (Wydrążanie Rozszerzeń), aby ominąć kontrole rynku i zdobyć zaufanie użytkowników.
Operatorzy najpierw publikują niewinnie wyglądające rozszerzenia Firefox — takie jak sanityzatory linków lub programy do pobierania wideo — na nowych kontach wydawców. Następnie są one uzupełniane fałszywymi pozytywnymi recenzjami, zanim zostaną przekształcone w narzędzia podszywające się pod portfele, celujące w MetaMask, TronLink, Exodus i Rabby Wallet.
Po uzbrojeniu, rozszerzenia zbierają dane uwierzytelniające bezpośrednio z pól wprowadzania danych przez użytkownika i przesyłają je do serwera dowodzenia i kontroli GreedyBear.
Złośliwe oprogramowanie kryptowalutowe
Poza rozszerzeniami, badacze znaleźli prawie 500 złośliwych plików wykonywalnych dla systemu Windows powiązanych z tą samą infrastrukturą.
Te pliki obejmują wiele rodzin złośliwego oprogramowania, w tym kradnące dane uwierzytelniające, takie jak LummaStealer, warianty ransomware przypominające Luca Stealer oraz ogólne trojany prawdopodobnie działające jako ładowarki dla innych ładunków.
Koi Security zauważyło, że wiele z tych próbek pojawia się w kanałach dystrybucji złośliwego oprogramowania hostowanych na rosyjskojęzycznych stronach internetowych oferujących złamane, pirackie lub "przepakowane" oprogramowanie. Ta metoda dystrybucji nie tylko poszerza zasięg grupy na mniej świadomych bezpieczeństwa użytkowników, ale także pozwala im siać infekcje poza natywną publicznością kryptowalutową.
Badacze znaleźli również próbki złośliwego oprogramowania, które wykazywały możliwości modułowe, sugerując, że operatorzy mogą aktualizować ładunki lub zamieniać funkcje bez wdrażania całkowicie nowego złośliwego oprogramowania.
Oszukańcze usługi kryptowalutowe
Równolegle z tymi operacjami złośliwego oprogramowania, GreedyBear utrzymuje sieć oszukańczych stron internetowych, które podszywają się pod produkty i usługi kryptowalutowe. Te strony są zaprojektowane do zbierania wrażliwych informacji od nieświadomych użytkowników.
Koi Security znalazło fałszywe strony docelowe reklamujące portfele sprzętowe oraz fałszywe usługi naprawy portfeli, które twierdzą, że naprawiają popularne urządzenia, takie jak Trezor. Inne strony promowały fałszywe portfele cyfrowe lub narzędzia kryptowalutowe, wszystkie z profesjonalnym designem.
W przeciwieństwie do tradycyjnych stron phishingowych, które naśladują strony logowania do giełd, te oszustwa udają prezentacje produktów lub usługi wsparcia. Odwiedzający są zachęcani do wprowadzania fraz odzyskiwania portfela, kluczy prywatnych, informacji o płatnościach lub innych wrażliwych danych, które atakujący następnie wykradają w celu dalszej kradzieży lub oszustw związanych z kartami kredytowymi.
Dochodzenie Koi wykazało, że niektóre z tych domen były nadal aktywne i zbierały dane, podczas gdy inne wydawały się uśpione, ale gotowe do aktywacji w przyszłych kampaniach.
Centralny węzeł
Ponadto, Koi odkryło, że prawie wszystkie domeny związane z rozszerzeniami, złośliwym oprogramowaniem i oszukańczymi stronami GreedyBear prowadzą do jednego adresu IP — 185.208.156.66.
Ten serwer funkcjonuje jako centrum dowodzenia i kontroli operacji, zarządzając zbieraniem danych uwierzytelniających, koordynacją ransomware i hostingiem dla oszukańczych stron internetowych. Konsolidując operacje na jednej infrastrukturze, grupa jest w stanie śledzić ofiary, dostosowywać ładunki i dystrybuować skradzione dane z większą szybkością i efektywnością.
Według Admoniego, znaleziono również ślady "artefaktów generowanych przez AI" w kodzie kampanii, co sprawia, że "atakującym łatwiej i szybciej niż kiedykolwiek skalować operacje, dywersyfikować ładunki i unikać wykrycia".
"To nie jest przemijający trend — to nowa normalność. Gdy atakujący uzbrajają się w coraz bardziej zaawansowane AI, obrońcy muszą odpowiedzieć równie zaawansowanymi narzędziami bezpieczeństwa i wywiadem", powiedział Admoni.
Możesz także polubić
Najlepsze okazje kryptowalutowe przed Q2 2026, jedna już wzrosła 3-krotnie
Przegapiłeś wzrosty BNB? BlockchainFX to najlepsza kryptowaluta do kupienia przed hossą w 2026 roku
