Хакерская группировка GreedyBear использовала сотни фальшивых расширений браузеров, вредоносных программ и поддельных сайтов для кражи криптовалют как минимум на $1 млн. Они вывели хищение монет на новый, промышленный уровень, заявили эксперты Koi Security.    

По данным экспертов по безопасности, большинство преступных групп выбирают одну линию — занимаются вредоносными расширениями для браузеров, специализируются на программах-вымогателях или управляют фишинговыми сайтами. В GreedyBear использовали для кражи криптовалют все три метода атак, рассказали специалисты Koi Security.

Хакеры из GreedyBear заразили браузеры 150 программами для кражи криптовалют image 0

Участники группировки разместили более 150 расширений для браузера Firefox, маскирующихся под популярные криптокошельки — MetaMask, TronLink, Exodus, Rabby. Сначала расширения выглядели безвредными, проходили проверку и получали искусственно созданные положительные отзывы. После программы превращались в инструменты кражи — вводимые пользователями данные криптокошельков захватывались и отправлялись на сервер злоумышленников, сообщили специалисты по безопасности.

«Этот подход позволяет GreedyBear обходить систему безопасности торговой площадки, создавая видимость легитимности на начальном этапе проверки, а затем используя в качестве оружия уже существующие расширения, которые пользуются доверием пользователей и имеют положительные оценки», — объяснили в Koi Security.

Koi Security обнаружила около 500 образцов вредоносного ПО, от программ-шпионов типа LummaStealer до приложений-вымогателей вроде Luca Stealer, которые требовали от жертв оплату в цифровой валюте. Распространение осуществлялось преимущественно через русскоязычные сайты с пиратским контентом, говорят специалисты по безопасности.

В качестве третьего метода атак преступники использовали сеть поддельных сайтов, имитирующие сервисы цифровых кошельков, устройства для холодного хранения или услуг по ремонту аппаратных кошельков (Trezor). Визуально сайты выглядели как безопасные лендинг-страницы, но служили лишь для сбора данных пользователей, пояснили в Koi Security.

Хакеры из GreedyBear заразили браузеры 150 программами для кражи криптовалют image 1

Использование искусственного интеллекта позволяло GreedyBear быстро масштабировать угрозы и адаптироваться к меняющимся условиям защиты. Это свидетельствует о переходе к «индустриальному подходу» в деле кражи криптовалют, сделали вывод эксперты Koi Security.

Ранее исследователи из компании Check Point заявили , что мошенники запустили кампанию под названием JSCEAL, нацелившись на пользователей криптовалют. Преступники рекламируют программы, мимикрирующие под как минимум 50 известных приложений, в том числе, Binance, MetaMask и Kraken.