Conteúdo editorial confiável, revisado por especialistas da indústria e editores experientes. Divulgação de anúncios
Um grupo de cibercrime chamado "GreedyBear" foi acusado de roubar mais de 1 milhão de dólares através do que os investigadores dizem ser uma das operações de roubo de criptomoedas mais abrangentes vistas nos últimos meses.
Leitura Relacionada: Irmãos Winklevoss Injectam Bitcoin em Empreendimento de Mineração Ligado a TrumpRelatórios da Koi Security revelam que o grupo está conduzindo uma campanha coordenada que mistura extensões de navegador maliciosas, malware e sites de golpe — tudo sob uma única rede.
Extensões Transformadas em Ferramentas de Roubo de Carteiras
Em vez de se concentrar apenas em um método, a GreedyBear combinou vários. De acordo com o pesquisador da Koi Security, Tuval Admoni, o grupo implantou mais de 650 ferramentas maliciosas em seu último impulso.
Isto marca um aumento acentuado em relação à sua anterior operação "Foxy Wallet" em julho, que envolveu 40 extensões do Firefox.
A tática do grupo, chamada "Extension Hollowing", começa com a publicação de complementos do Firefox com aparência limpa, como descarregadores de vídeo ou limpadores de links.
Estas extensões, lançadas sob novas contas de editor, coletam avaliações positivas falsas para parecerem confiáveis. Mais tarde, são trocadas por versões maliciosas que imitam carteiras como MetaMask, TronLink, Exodus e Rabby Wallet.
Uma vez instalado, eles capturam credenciais dos campos de entrada e enviam-nas para os servidores de controle do GreedyBear.
Malware Oculto Em Software Pirata
Os investigadores também ligaram quase 500 ficheiros maliciosos do Windows ao mesmo grupo. Muitos destes pertencem a famílias de malware bem conhecidas, como LummaStealer, ransomware semelhante ao Luca Stealer, e trojans que atuam como carregadores para outros programas nocivos.
A distribuição ocorre frequentemente através de websites em língua russa que hospedam software crackeado ou "reempacotado". Alvejando aqueles que procuram software gratuito, os atacantes alcançam muito além da comunidade cripto.
Malware modular foi também encontrado pela Koi Security, onde os operadores podem adicionar ou trocar funções sem implantar arquivos completamente novos.
Capacidade total do mercado de criptomoedas atualmente $3.9 trilhões. Gráfico: TradingView### Serviços de Cripto Falsos Criados Para Roubar Dados
De acordo com relatórios, além dos ataques de navegador e malware, a GreedyBear estabeleceu sites fraudulentos que se fazem passar por soluções genuínas de criptomoeda.
Alguns destes dizem oferecer carteiras de hardware, e outros são serviços de reparação de carteiras falsas para dispositivos como o Trezor.
Leitura Relacionada: A Ordem Executiva de Trump Pode Ser o Próximo Grande Catalisador do Bitcoin: CEO Além disso, estão disponíveis aplicações de carteira falsas com designs atraentes que enganam os utilizadores para inserirem frases de recuperação, chaves privadas e informações de pagamento.
Ao contrário dos sites de phishing standard que copiam as páginas de login das trocas, estas páginas de golpe parecem mais portais de produtos ou de suporte.
Relatórios acrescentaram que alguns deles continuam ativos e ainda estão a recolher dados sensíveis, enquanto outros estão em espera para uso futuro.
Os investigadores descobriram que quase todos os domínios associados a estas operações levam de volta a um único endereço IP — 185.208.156.66. Este servidor atua como o centro da campanha, gerindo credenciais roubadas, coordenando atividades de ransomware e hospedando sites de fraude.
Imagem em destaque da Unsplash, gráfico do TradingView
Processo Editorial para bitcoinist é centrado na entrega de conteúdo minuciosamente pesquisado, preciso e imparcial. Mantemos padrões de sourcing rigorosos, e cada página passa por uma revisão diligente da nossa equipe de especialistas em tecnologia de topo e editores experientes. Este processo garante a integridade, relevância e valor do nosso conteúdo para os nossos leitores.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Cripto Ladrões Categorizados como ‘GreedyBear’ Operam Um Esquema em Escala Industrial - Detalhes
Leitura Relacionada: Irmãos Winklevoss Injectam Bitcoin em Empreendimento de Mineração Ligado a TrumpRelatórios da Koi Security revelam que o grupo está conduzindo uma campanha coordenada que mistura extensões de navegador maliciosas, malware e sites de golpe — tudo sob uma única rede.
Extensões Transformadas em Ferramentas de Roubo de Carteiras
Em vez de se concentrar apenas em um método, a GreedyBear combinou vários. De acordo com o pesquisador da Koi Security, Tuval Admoni, o grupo implantou mais de 650 ferramentas maliciosas em seu último impulso.
Isto marca um aumento acentuado em relação à sua anterior operação "Foxy Wallet" em julho, que envolveu 40 extensões do Firefox.
A tática do grupo, chamada "Extension Hollowing", começa com a publicação de complementos do Firefox com aparência limpa, como descarregadores de vídeo ou limpadores de links.
Estas extensões, lançadas sob novas contas de editor, coletam avaliações positivas falsas para parecerem confiáveis. Mais tarde, são trocadas por versões maliciosas que imitam carteiras como MetaMask, TronLink, Exodus e Rabby Wallet.
Uma vez instalado, eles capturam credenciais dos campos de entrada e enviam-nas para os servidores de controle do GreedyBear.
Malware Oculto Em Software Pirata
Os investigadores também ligaram quase 500 ficheiros maliciosos do Windows ao mesmo grupo. Muitos destes pertencem a famílias de malware bem conhecidas, como LummaStealer, ransomware semelhante ao Luca Stealer, e trojans que atuam como carregadores para outros programas nocivos.
A distribuição ocorre frequentemente através de websites em língua russa que hospedam software crackeado ou "reempacotado". Alvejando aqueles que procuram software gratuito, os atacantes alcançam muito além da comunidade cripto.
Malware modular foi também encontrado pela Koi Security, onde os operadores podem adicionar ou trocar funções sem implantar arquivos completamente novos.
De acordo com relatórios, além dos ataques de navegador e malware, a GreedyBear estabeleceu sites fraudulentos que se fazem passar por soluções genuínas de criptomoeda.
Alguns destes dizem oferecer carteiras de hardware, e outros são serviços de reparação de carteiras falsas para dispositivos como o Trezor.
Leitura Relacionada: A Ordem Executiva de Trump Pode Ser o Próximo Grande Catalisador do Bitcoin: CEO Além disso, estão disponíveis aplicações de carteira falsas com designs atraentes que enganam os utilizadores para inserirem frases de recuperação, chaves privadas e informações de pagamento.
Ao contrário dos sites de phishing standard que copiam as páginas de login das trocas, estas páginas de golpe parecem mais portais de produtos ou de suporte.
Relatórios acrescentaram que alguns deles continuam ativos e ainda estão a recolher dados sensíveis, enquanto outros estão em espera para uso futuro.
Os investigadores descobriram que quase todos os domínios associados a estas operações levam de volta a um único endereço IP — 185.208.156.66. Este servidor atua como o centro da campanha, gerindo credenciais roubadas, coordenando atividades de ransomware e hospedando sites de fraude.
Imagem em destaque da Unsplash, gráfico do TradingView