Um grupo de crime cibernético chamado “Greedybear” foi acusado de roubar mais de US $ 1 milhão através do que os pesquisadores dizem ser uma das operações de roubo de criptografia mais abrangentes vistas em meses.
Relatórios da Koi Security revelam que o grupo está executando uma campanha coordenada que mistura sites de extensões, malware e fraude do navegador maliciosos – todos sob uma rede.
Extensões transformadas em ferramentas de roubo de carteira
Em vez de se concentrar em apenas um método, o GreedyBear combinou vários. De acordo com o pesquisador de segurança da Koi, Tuval Admoni, o grupo implantou mais de 650 ferramentas maliciosas em seu último impulso.
Isso marca um aumento acentuado de sua operação anterior de “Foxy Wallet” em julho, que envolveu 40 extensões do Firefox.
A tática do grupo, chamada “Extension Hollowing”, começa com a publicação de complementos do Firefox de aparência limpa, como downloaders de vídeo ou limpadores de links.
Essas extensões, divulgadas em contas de editores frescos, coletam críticas positivas falsas para parecer confiáveis. Mais tarde, eles são trocados por versões maliciosas que representam carteiras como Metamask, TronLink, Êxodo e Carteira de Rabby.
Depois de instalados, eles pegam credenciais nos campos de entrada e os enviam para os servidores de controle da GreedyBear.
Malware escondido em software pirata
Os investigadores também empataram quase 500 arquivos maliciosos do Windows ao mesmo grupo. Muitos deles pertencem a famílias conhecidas de malware, como Lummassealer, Ransomware semelhantes a Luca, ladrão, e Trojans atuando como carregadeiras para outros programas prejudiciais.
A distribuição ocorre frequentemente através de sites em língua russa que hospedam software rachado ou “reembalado”. Visando aqueles que buscam software livre, os atacantes chegam muito além da comunidade criptográfica.
Malware modular também foi encontrado pela Koi Security, na qual os operadores podem adicionar ou trocar funções sem implantar arquivos completamente novos.
Serviços de criptografia falsa criados para deslizar dados
Com base nos relatórios, além dos ataques e malware do navegador, a GreedyBear estabeleceu sites fraudulentos que se falsificaram como soluções de criptomoedas genuínas.
Diz -se que alguns deles oferecem carteiras de hardware, e outros são serviços de reparo de carteira falsos para dispositivos como Trezor.
Também estão em oferta aplicativos de carteira falsos com designs bonitos que levam os usuários a inserir frases de recuperação, chaves privadas e informações de pagamento.
Ao contrário dos sites de phishing padrão que copiam as páginas de login de troca, essas páginas de fraude se parecem mais com portais de produto ou suporte.
Os relatórios acrescentaram que alguns deles permanecem ativos e ainda estão coletando dados confidenciais, enquanto outros estão em espera para uso futuro.
Os investigadores descobriram que quase todos os domínios vinculados a essas operações levam a um único endereço IP – 185.208.156.66. Este servidor atua como o hub da campanha, lidando com credenciais roubadas, coordenando a atividade de ransomware e hospedando sites de fraude.
Imagem em destaque do Unsplash, gráfico de Tradingview
Processo editorial Para o Bitcoinist, está centrado na entrega de conteúdo completamente pesquisado, preciso e imparcial. Seguimos padrões rígidos de fornecimento e cada página sofre uma revisão diligente de nossa equipe de principais especialistas em tecnologia e editores experientes. Esse processo garante a integridade, relevância e valor de nosso conteúdo para nossos leitores.
Fontebitcoinist
