Una sofisticata campagna di cybercrimine chiamata "GreedyBear" ha rubato oltre 1 milione di dollari in criptovaluta impiegando una triplice minaccia di tipi di attacco. Questa campagna coinvolge
- Estensioni del browser malevole: Oltre 150 estensioni false sono state pubblicate nel marketplace del browser Firefox, impersonando portafogli crypto popolari come MetaMask, TronLink, Exodus e Rabby Wallet. Queste estensioni utilizzano una tecnica di "Extension Hollowing", in cui gli attaccanti creano inizialmente estensioni legittime per superare i controlli di sicurezza, per poi renderle malevole.
- Malware a tema crypto: Quasi 500 campioni di malware sono stati identificati, inclusi rubatori di credenziali come LummaStealer e varianti di ransomware progettate per richiedere pagamenti in criptovaluta. Questo malware è spesso distribuito attraverso siti web russi che offrono software piratato o crackato.
- Siti web truffa: Una rete di siti web falsi si finge come prodotti e servizi legati alle criptovalute, ingannando gli utenti a divulgare informazioni sensibili. Questi siti appaiono come pagine di atterraggio di prodotti legittimi, pubblicizzando portafogli digitali, dispositivi hardware o servizi di riparazione di portafogli.
Il gruppo GreedyBear ha ridefinito il furto di criptovalute su scala industriale combinando questi vettori di attacco, dimostrando un approccio sofisticato nel mirare agli utenti crypto. Secondo Tuval Admoni, ricercatore di Koi Security, questo gruppo ha "smesso di pensare in piccolo" e sta ora implementando truffe complesse per massimizzare i propri guadagni. Il successo della campagna evidenzia la necessità di misure di sicurezza più forti e della vigilanza degli utenti.
La campagna GreedyBear è un'operazione di cybercrimine sofisticata che ha rubato oltre 1 milione di dollari in criptovaluta utilizzando tre principali vettori di attacco:
- Estensioni del browser malevole: Oltre 150 estensioni false sono state pubblicate nel marketplace del browser Firefox, impersonando portafogli crypto popolari come MetaMask, TronLink, Exodus e Rabby Wallet. Queste estensioni utilizzano una tecnica di "Extension Hollowing", in cui gli attaccanti creano inizialmente estensioni legittime per superare i controlli di sicurezza, per poi renderle malevole.
- Malware a tema crypto: Quasi 500 campioni di malware sono stati identificati, inclusi rubatori di credenziali come LummaStealer e varianti di ransomware progettate per richiedere pagamenti in criptovaluta. La maggior parte del malware è distribuita attraverso siti web russi che offrono software piratato o crackato.
- Siti web truffa: Una rete di siti web falsi si finge come prodotti e servizi legati alle criptovalute, apparendo come pagine di atterraggio di prodotti fittizi che pubblicizzano portafogli digitali, dispositivi hardware o servizi di riparazione di portafogli. Un server funge da hub centrale per il comando e controllo, raccolta di credenziali, coordinamento di ransomware e siti web truffa, consentendo agli attaccanti di ottimizzare le operazioni su più canali.