Um grupo de atores de ameaças de criptomoeda chamado “Greedybear” foi roubado mais de US $ 1 milhão no que os pesquisadores descrevem como uma campanha em escala industrial, abrangendo extensões de navegador malicioso, malware e sites fraudulentos.
resumo
A GreedyBear teria mais de US $ 1 milhão roubado através de extensões maliciosas, malware e sites fraudulentos. A campanha identificou mais de 650 ferramentas maliciosas direcionadas aos usuários de carteira de criptomoeda. Os pesquisadores descobriram sinais de código gerado na IA usado para expandir e diversificar ataques.
Segundo Tuval Admoni, pesquisador de segurança da Koi, o GreedyBear “redefiniram o roubo de criptografia em escala industrial”.
Enquanto a maioria dos trajes cibernéticos é especializada em vetores únicos, como phishing, ransomware e extensões falsas, o GreedyBear persegue todos os três ao mesmo tempo em escala.
As descobertas ocorreram dias depois que a empresa de segurança blockchain Peckshield relatou um forte aumento no crime criptográfico em julho, com maus atores roubaram cerca de US $ 142 milhões em 17 grandes incidentes.
Extensões maliciosas do navegador
Um estudo de segurança KOI descobriu que a campanha atual do GreedyBear já implanta mais de 650 ferramentas maliciosas direcionadas aos usuários de carteira de criptomoeda.
Admoni observou que isso marcou uma escalada da campanha anterior “Foxy Wallet” do grupo, expondo 40 extensões maliciosas do Firefox em julho.
Este grupo usa uma técnica que o KOI chama de “Extended Hollow” para ignorar as verificações do mercado e obter confiança do usuário.
Os operadores publicarão primeiro extensões inofensivas do Firefox, como desinfetantes de link e downloads de vídeo, em novas contas do editor. Eles são acolchoados com críticas positivas falsas antes de serem convertidas em ferramentas de carteira no que visam as carteiras de metamask, tronlink, êxodo e rabby.
A extensão colhe as credenciais diretamente do campo de entrada do usuário e as envia para o Comando e o Servidor de Control GreedyBear.
Malware criptográfico
Além das extensões, os pesquisadores descobriram quase 500 executáveis maliciosos do Windows ligados à mesma infraestrutura.
Esses arquivos abrangem várias famílias de malware, incluindo Lummassealer, variantes de ransomware semelhantes ao Luca Stealer e Steelers certificados, como Trojans comuns que poderiam atuar como carregadeiras para outras cargas úteis.
A Koi Security observou que muitas dessas amostras aparecem em pipelines de distribuição de malware hospedados em sites russos que fornecem software rachado, pirateado ou “reembalado”. Esse método de distribuição não apenas amplia o alcance dos grupos para menos usuários preocupados com a segurança, mas também permite que as infecções sejam semeadas além do público criptográfico.
Os pesquisadores também descobriram amostras de malware demonstrando recursos modulares, sugerindo que os operadores podem atualizar a carga útil ou trocar recursos sem implantar malware totalmente novo.
Serviços de criptografia fraudulenta
Em paralelo com essas operações de malware, a GreedyBear mantém uma rede de sites de fraude que fingem ser produtos e serviços de criptomoeda. Esses sites são projetados para coletar informações confidenciais de usuários inocentes.
A Koi Security encontrou carteiras de hardware de anúncios para páginas de destino falsas e serviços de reparo de carteira falsos que afirmam consertar dispositivos populares como a Trezor. Outras páginas descobriram que anunciam carteiras digitais falsas ou utilitários criptográficos.
Página de destino falsa projetada para enganar as vítimas | Fonte: Koi Security
Diferentemente dos sites tradicionais de phishing que imitam as páginas de login de troca, esses golpes são apresentados como apresentação de produtos ou serviços de suporte. Os visitantes são fascinados pelas frases de recuperação da carteira, chaves privadas, informações de pagamento ou outros dados confidenciais, que o invasor exclui por roubo ou fraude no cartão de crédito.
Uma pesquisa KOI constatou que alguns desses domínios ainda estavam ativos e colhendo dados, enquanto os outros domínios pareciam adormecidos, mas estavam prontos para a ativação em campanhas futuras.
Nó central
Além disso, Koi descobriu que quase todos os domínios conectados a extensões gananciosas, malware e sites fraudulentos resolvem um único endereço IP (185.208.156.66).
Gráfico de conexão para 185.208.156.66 | Fonte: Koi Security
Este servidor atua como um hub de comando e controle para operações, gerenciando coleções de credenciais, ajuste de ransomware e hospedando sites desonestos. Ao consolidar as operações em uma infraestrutura, os grupos podem rastrear vítimas, ajustar as cargas úteis e distribuir dados roubados a uma velocidade e eficiência mais alta.
Segundo Admoni, também existem indicações de “artefatos gerados pela IA” dentro do código da campanha, que “torna mais rápido e mais fácil do que nunca para os invasores escalarem suas operações, diversificar suas cargas úteis e evitar a detecção”.
“Isso não é uma tendência a passar. É um novo normal. Como os atacantes estão cada vez mais armados com IA capaz, os defensores precisam responder com ferramentas de segurança e inteligência igualmente sofisticadas”, diz Admoni.
