GreedyBear: trovate 40 estensioni false per portafogli crittografici su Firefox Marketplace
Una sofisticata e su larga scala campagna di criminalità informatica, denominata GreedyBear, è stata scoperta per aver rubato almeno un milione di dollari agli utenti di criptovalute. La ricerca, condotta dalla società di sicurezza informatica Koi Security e condivisa con Hackread.com, rivela un'operazione altamente organizzata che va ben oltre le tipiche truffe online .
Invece di concentrarsi su un singolo tipo di attacco, i criminali dietro GreedyBear utilizzano un mix coordinato di estensioni del browser dannose, software dannosi e siti web falsi. Questa strategia consente loro di attaccare da più angolazioni contemporaneamente, rendendo le loro operazioni incredibilmente efficaci.
Uno dei principali metodi di azione di GreedyBear è tramite estensioni dannose del browser. Il gruppo ha creato oltre 150 estensioni false per il marketplace di Firefox, spacciandosi per popolari wallet di criptovalute come MetaMask, TronLink, Exodus e Rabby Wallet.
Gli aggressori utilizzano un trucco ingegnoso chiamato "Extension Hollowing" per eludere i controlli di sicurezza. Prima caricano estensioni innocue e, dopo essersi guadagnati la credibilità con false recensioni positive, le svuotano modificandone nome e icone e iniettando codice dannoso, il tutto mantenendo la cronologia delle recensioni positive.
Il secondo metodo coinvolge quasi 500 programmi dannosi, o eseguibili, reperibili su siti che offrono software piratato. Questi programmi dannosi includono i ladri di credenziali , progettati per rubare le informazioni di accesso, e i ransomware, che bloccano i file e richiedono un pagamento. La varietà di questi strumenti dimostra che il gruppo non è un semplice pony con un solo trucco, ma dispone di un'ampia gamma di metodi per colpire le vittime.
In terzo luogo, il gruppo ha creato decine di siti web falsi che si presentano come servizi di criptovalute legittimi o strumenti di riparazione di portafogli. Questi siti sono progettati per indurre gli utenti a inserire informazioni personali e dettagli del portafoglio.
Un dettaglio chiave rivelato dalla ricerca di Koi Security è che tutti questi attacchi, le estensioni false, i malware e i siti web truffaldini, sono tutti collegati a un unico server centrale ( 185.208.156.66 ). Questo hub centrale consente agli aggressori di gestire le loro operazioni su larga scala con grande efficienza.
I ricercatori hanno notato che questa campagna, iniziata come un'iniziativa più piccola nota come Foxy Wallet, è ora diventata una minaccia multipiattaforma di grandi dimensioni, con segnali che potrebbero presto estendersi ad altri browser come Chrome ed Edge.
I ricercatori hanno anche osservato che questo tipo di crimine automatizzato su larga scala è probabilmente reso possibile dai nuovi strumenti di intelligenza artificiale, che rendono più rapido e semplice che mai per i criminali lanciare attacchi. Questa nuova realtà significa che affidarsi ai vecchi metodi di sicurezza non è più sufficiente per rimanere al sicuro online.
HackRead
