Хакери з GreedyBear заразили браузери 150 програм для крадіжки криптовалют – Bits Media
Хакерське угруповання GreedyBear використало сотні фальшивих розширень для браузерів, шкідливих програм та підроблених сайтів для крадіжки криптовалют як мінімум на $1 млн. Вони вивели розкрадання монет на новий, промисловий рівень, заявили експерти Koi Security.
За даними експертів з безпеки, більшість злочинних груп обирають одну лінію – займаються шкідливими розширеннями для браузерів, спеціалізуються на програмах-здирниках або керують фішинговими сайтами. У GreedyBear використали для крадіжки криптовалют усі три методи атак, розповіли фахівці Koi Security.
Учасники угруповання розмістили понад 150 розширень для браузера Firefox, що маскуються під популярні криптогаманці – MetaMask, TronLink, Exodus, Rabby. Спочатку розширення виглядали нешкідливими, проходили перевірку та отримували штучно створені позитивні відгуки. Після програми перетворювалися на інструменти крадіжки — дані криптогаманців, що вводяться користувачами, захоплювалися і відправлялися на сервер зловмисників, повідомили фахівці з безпеки.
“Цей підхід дозволяє GreedyBear обходити систему безпеки торгового майданчика, створюючи видимість легітимності на початковому етапі перевірки, а потім використовуючи як зброю вже існуючі розширення, які користуються довірою користувачів і мають позитивні оцінки”, – пояснили в Koi Security.
Koi Security виявила близько 500 зразків шкідливого ПЗ, від програм-шпигунів типу LummaStealer до додатків-здирників на кшталт Luca Stealer, які вимагали від жертв оплату в цифровій валюті. Розповсюдження здійснювалося переважно через російськомовні сайти з піратським контентом, кажуть фахівці з безпеки.
Як третій метод атак злочинці використовували мережу підроблених сайтів, що імітують сервіси цифрових гаманців, пристрої для холодного зберігання або послуг з ремонту апаратних гаманців (Trezor). Візуально сайти виглядали як безпечні лендинг-сторінки, але служили лише для збирання даних користувачів, пояснили в Koi Security.
Використання штучного інтелекту дозволяло GreedyBear швидко масштабувати загрози та адаптуватися до мінливих умов захисту. Це свідчить про перехід до «індустріального підходу» у справі крадіжки криптовалют, дійшли висновку експерти Koi Security.
Раніше дослідники компанії Check Point заявили, що шахраї запустили кампанію під назвою JSCEAL, націлившись на користувачів криптовалют. Злочинці рекламують програми, що мімікриють під як мінімум 50 відомих додатків, у тому числі Binance, MetaMask і Kraken.
Источник: bits.media
