Криптомошенническая группа GreedyBear украла более 1 млн $ с помощью поддельных расширений и вредоносного ПО

Группа криптовалютных злоумышленников под названием "GreedyBear" похитила более 1 миллиона долларов в ходе того, что исследователи описывают как кампанию промышленного масштаба, охватывающую вредоносные расширения браузера, вредоносное ПО и мошеннические веб-сайты.

GreedyBear "переопределила промышленный масштаб кражи криптовалют", по словам исследователя Koi Security Туваля Адмони, который заявил, что подход группы сочетает несколько проверенных методов атаки в одну скоординированную операцию.

В то время как большинство киберпреступных группировок специализируются на одном векторе, таком как фишинг, программы-вымогатели или поддельные расширения, GreedyBear одновременно использует все три в крупном масштабе.

Эти выводы появились всего через несколько дней после того, как компания PeckShield, занимающаяся безопасностью блокчейна, сообщила о резком росте криптопреступности в июле, когда злоумышленники похитили примерно 142 миллиона долларов в ходе 17 крупных инцидентов.

Вредоносные расширения браузера

Расследование Koi Security показало, что в рамках текущей кампании GreedyBear уже развернуто более 650 вредоносных инструментов, нацеленных на пользователей криптовалютных кошельков.

Адмони отметил, что это знаменует собой эскалацию по сравнению с более ранней кампанией группы "Foxy Wallet", в ходе которой в июле было обнаружено 40 вредоносных расширений Firefox. 

Группа использует технику, которую Koi называет "Extension Hollowing", чтобы обойти проверки магазинов приложений и завоевать доверие пользователей.  

Операторы сначала публикуют безобидные на вид расширения Firefox — такие как санитайзеры ссылок или загрузчики видео — под новыми учетными записями издателей. Затем они дополняются фальшивыми положительными отзывами, прежде чем быть преобразованными в инструменты, имитирующие кошельки и нацеленные на MetaMask, TronLink, Exodus и Rabby Wallet. 

После активации расширения собирают учетные данные непосредственно из полей ввода пользователя и передают их на командно-контрольный сервер GreedyBear.

Криптовалютное вредоносное ПО

Помимо расширений, исследователи обнаружили почти 500 вредоносных исполняемых файлов Windows, связанных с той же инфраструктурой. 

Эти файлы охватывают несколько семейств вредоносного ПО, включая похитителей учетных данных, таких как LummaStealer, варианты программ-вымогателей, напоминающие Luca Stealer, и общие трояны, вероятно, действующие как загрузчики для других полезных нагрузок.

Koi Security отметила, что многие из этих образцов появляются в каналах распространения вредоносного ПО, размещенных на русскоязычных веб-сайтах, предлагающих взломанное, пиратское или "перепакованное" программное обеспечение. Этот метод распространения не только расширяет охват группы на менее осведомленных о безопасности пользователей, но и позволяет им распространять заражения за пределы аудитории, изначально связанной с криптовалютами.

Исследователи также обнаружили образцы вредоносного ПО, демонстрирующие модульные возможности, что позволяет предположить, что операторы могут обновлять полезные нагрузки или менять функции без развертывания полностью нового вредоносного ПО.

Мошеннические криптосервисы

Параллельно с этими операциями с вредоносным ПО, GreedyBear поддерживает сеть мошеннических веб-сайтов, имитирующих криптовалютные продукты и услуги. Эти веб-сайты предназначены для сбора конфиденциальной информации от ничего не подозревающих пользователей.

Koi Security обнаружила поддельные целевые страницы, рекламирующие аппаратные кошельки, и фальшивые сервисы по ремонту кошельков, утверждающие, что могут починить популярные устройства, такие как Trezor. Другие страницы продвигали поддельные цифровые кошельки или криптоутилиты, все с профессиональным дизайном.

В отличие от традиционных фишинговых сайтов, имитирующих страницы входа на биржи, эти мошенничества выдают себя за витрины продуктов или службы поддержки. Посетителей заманивают ввести фразы восстановления кошелька, приватные ключи, платежную информацию или другие конфиденциальные данные, которые затем злоумышленники похищают для последующей кражи или мошенничества с кредитными картами.

Расследование Koi показало, что некоторые из этих доменов все еще активны и собирают данные, в то время как другие кажутся бездействующими, но готовыми к активации в будущих кампаниях.

Центральный узел

Кроме того, Koi обнаружила, что почти все домены, связанные с расширениями, вредоносным ПО и мошенническими веб-сайтами GreedyBear, разрешаются в один IP-адрес — 185.208.156.66.

Этот сервер функционирует как командно-контрольный центр операции, управляя сбором учетных данных, координацией программ-вымогателей и хостингом мошеннических веб-сайтов. Консолидируя операции на одной инфраструктуре, группа может отслеживать жертв, корректировать полезные нагрузки и распространять украденные данные с большей скоростью и эффективностью.

По словам Адмони, в коде кампании также были обнаружены признаки "артефактов, сгенерированных ИИ", что делает "быстрее и проще, чем когда-либо, для злоумышленников масштабировать операции, диверсифицировать полезные нагрузки и уклоняться от обнаружения".

"Это не временная тенденция — это новая норма. По мере того как злоумышленники вооружаются все более мощным ИИ, защитники должны реагировать с помощью столь же продвинутых инструментов безопасности и разведки", — сказал Адмони.