GreedyBear: 40 extensiones falsas de billeteras criptográficas encontradas en Firefox Marketplace
Una sofisticada campaña de ciberdelincuencia a gran escala, llamada GreedyBear, ha sido expuesta por robar al menos un millón de dólares a usuarios de criptomonedas. La investigación, realizada por la firma de ciberseguridad Koi Security y compartida con Hackread.com, revela una operación altamente organizada que va mucho más allá de las típicas estafas en línea .
En lugar de centrarse en un solo tipo de ataque, los delincuentes detrás de GreedyBear utilizan una combinación coordinada de extensiones de navegador maliciosas, software malicioso y sitios web falsos. Esta estrategia les permite atacar desde múltiples ángulos a la vez, lo que hace que su operación sea increíblemente efectiva.
Una de las principales formas en que GreedyBear opera es mediante extensiones de navegador maliciosas. El grupo ha creado más de 150 extensiones falsas para la plataforma Firefox, haciéndose pasar por monederos de criptomonedas populares como MetaMask, TronLink, Exodus y Rabby Wallet.
Los atacantes usan un ingenioso truco llamado "Extension Hollowing" para evadir los controles de seguridad. Primero suben extensiones inofensivas y, tras generar credibilidad con reseñas positivas falsas, las vacían cambiando sus nombres e iconos e inyectando código malicioso, todo ello mientras conservan el historial de reseñas positivas.
El segundo método implica casi 500 programas maliciosos, o ejecutables, que se encuentran en sitios que ofrecen software pirateado. Estos programas dañinos incluyen ladrones de credenciales , diseñados para robar la información de inicio de sesión, y ransomware, que bloquea los archivos y exige un pago. La variedad de estas herramientas demuestra que el grupo no se limita a un solo truco, sino que cuenta con una amplia gama de métodos para atacar a sus víctimas.
En tercer lugar, el grupo ha creado docenas de sitios web falsos que simulan servicios legítimos de criptomonedas o herramientas de reparación de billeteras. Estos sitios están diseñados para engañar a los usuarios para que ingresen información personal y los datos de su billetera.
Un detalle clave revelado por la investigación de Koi Security es que todos estos ataques (las extensiones falsas, el malware y los sitios web fraudulentos) están conectados a un único servidor central ( 185.208.156.66 ). Este centro de operaciones permite a los atacantes gestionar sus operaciones a gran escala con gran eficiencia.
Los investigadores señalan que esta campaña, que comenzó como un esfuerzo menor conocido como Foxy Wallet, ahora se ha convertido en una importante amenaza multiplataforma, con señales de que pronto podría expandirse a otros navegadores como Chrome y Edge.
Los investigadores también señalaron que este tipo de delito automatizado a gran escala probablemente sea posible gracias a las nuevas herramientas de IA, lo que facilita y agiliza más que nunca los ataques de los delincuentes. Esta nueva realidad implica que confiar en los antiguos métodos de seguridad ya no es suficiente para mantenerse seguro en línea.
HackRead
