!
محتوى تحرير موثوق، تم مراجعته من قبل خبراء الصناعة الرائدين والمحررين ذوي الخبرة. إفصاح الإعلان
تم اتهام مجموعة من جرائم الإنترنت تُدعى "GreedyBear" بسرقة أكثر من 1 مليون دولار من خلال ما يقول الباحثون إنه واحد من أوسع عمليات سرقة العملات المشفرة التي تم رؤيتها منذ أشهر.
القراءة ذات الصلة: توأمي وينكلفوس يضخان البيتكوين في مشروع التعدين المرتبط ترامبتظهر تقارير من كوي سكيورتي أن المجموعة تدير حملة منسقة تخلط بين إضافات المتصفح الضارة، والبرامج الضارة، ومواقع الاحتيال - كل ذلك تحت شبكة واحدة.
التحويلات التي تحولت إلى أدوات لسرقة المحفظة
بدلاً من التركيز على طريقة واحدة فقط، قامت GreedyBear بدمج عدة طرق. وفقًا للباحث في Koi Security توفال أدومني، قامت المجموعة بنشر أكثر من 650 أداة خبيثة في أحدث عملية لها.
يسجل هذا ارتفاعًا حادًا من عمليته السابقة "Foxy Wallet" في يوليو، والتي شملت 40 امتدادًا لمتصفح Firefox.
!
تبدأ استراتيجية المجموعة، المسماة "تفريغ التمديد"، بنشر إضافات فيرفوكس تبدو نظيفة مثل أدوات تحميل الفيديو أو منظفات الروابط.
تجمع هذه الإضافات، التي تم إصدارها تحت حسابات ناشرين جديدة، مراجعات إيجابية مزيفة لتبدو موثوقة. لاحقًا، يتم استبدالها بإصدارات خبيثة تتنكر في شكل محافظ مثل ميتا ماسك، ترون لينك، إكسودوس، ورايبي والمحفظة.
بمجرد التثبيت، يقومون بسرقة بيانات الاعتماد من حقول الإدخال وإرسالها إلى خوادم التحكم الخاصة بـ GreedyBear.
!
برامج ضارة مخفية في البرمجيات المقرصنة
لقد ربط المحققون أيضًا ما يقرب من 500 ملف ويندوز خبيث بنفس المجموعة. يعود العديد من هذه الملفات إلى عائلات البرمجيات الخبيثة المعروفة مثل LummaStealer، وبرامج الفدية المشابهة لـ Luca Stealer، والبرمجيات الخبيثة التي تعمل كحمّالات لبرامج ضارة أخرى.
تحدث التوزيع بشكل متكرر من خلال المواقع الإلكترونية الناطقة باللغة الروسية التي تستضيف برامج مخترقة أو "معاد تعبئتها". من خلال استهداف أولئك الذين يبحثون عن برامج مجانية، تصل الهجمات إلى ما هو أبعد من مجتمع العملات المشفرة.
تم العثور أيضًا على برامج ضارة معيارية من قبل Koi Security، حيث يمكن للمشغلين إضافة أو تبديل الوظائف دون الحاجة إلى نشر ملفات جديدة تمامًا.
إجمالي قيمة سوق العملات المشفرة حالياً 3.9 تريليون دولار. الرسم البياني: TradingView### خدمات العملات المشفرة المزيفة التي تم إنشاؤها لسرقة البيانات
استنادًا إلى التقارير، بالإضافة إلى هجمات المتصفح والبرامج الضارة، أنشأ GreedyBear مواقع ويب احتيالية تدعي أنها حلول عملة مشفرة حقيقية.
يقال إن بعض هذه الخدمات تقدم محافظ أجهزة، بينما البعض الآخر هو خدمات إصلاح محافظ مزيفة لأجهزة مثل Trezor.
قراءة ذات صلة: الأمر التنفيذي لترامب يمكن أن يكون المحفز الكبير التالي لبيتكوين: الرئيس التنفيذي. كما تتوفر تطبيقات محافظ مزيفة ذات تصميمات جذابة تخدع المستخدمين لإدخال عبارات الاسترداد، والمفاتيح الخاصة، ومعلومات الدفع.
على عكس مواقع التصيد القياسية التي تقوم بنسخ صفحات تسجيل دخول البورصات، تبدو هذه الصفحات الاحتيالية أكثر مثل بوابات المنتجات أو الدعم.
أضافت التقارير أن بعضهم لا يزال نشطًا ويجمع بيانات حساسة، بينما الآخرون في وضع الاستعداد للاستخدام في المستقبل.
وجد المحققون أن ما يقرب من جميع النطاقات المرتبطة بهذه العمليات تعود إلى عنوان IP واحد - 185.208.156.66. يعمل هذا الخادم كمركز الحملة، حيث يتعامل مع بيانات الاعتماد المسروقة، وينسق أنشطة برامج الفدية، ويستضيف مواقع الاحتيال.
صورة مميزة من Unsplash، مخطط من TradingView
! عملية التحرير في bitcoinist تركز على تقديم محتوى تم بحثه بدقة، دقيق، وغير متحيز. نحن نلتزم بمعايير مصادر صارمة، وتخضع كل صفحة لمراجعة دقيقة من قبل فريقنا من الخبراء التقنيين الرائدين والمحررين ذوي الخبرة. تضمن هذه العملية نزاهة المحتوى، وملاءمته، وقيمته لقرائنا.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
لصوص العملات الرقمية المعروفين باسم 'GreedyBear' ينفذون عملية احتيال على نطاق صناعي - التفاصيل
! محتوى تحرير موثوق، تم مراجعته من قبل خبراء الصناعة الرائدين والمحررين ذوي الخبرة. إفصاح الإعلان تم اتهام مجموعة من جرائم الإنترنت تُدعى "GreedyBear" بسرقة أكثر من 1 مليون دولار من خلال ما يقول الباحثون إنه واحد من أوسع عمليات سرقة العملات المشفرة التي تم رؤيتها منذ أشهر.
القراءة ذات الصلة: توأمي وينكلفوس يضخان البيتكوين في مشروع التعدين المرتبط ترامبتظهر تقارير من كوي سكيورتي أن المجموعة تدير حملة منسقة تخلط بين إضافات المتصفح الضارة، والبرامج الضارة، ومواقع الاحتيال - كل ذلك تحت شبكة واحدة.
التحويلات التي تحولت إلى أدوات لسرقة المحفظة
بدلاً من التركيز على طريقة واحدة فقط، قامت GreedyBear بدمج عدة طرق. وفقًا للباحث في Koi Security توفال أدومني، قامت المجموعة بنشر أكثر من 650 أداة خبيثة في أحدث عملية لها.
يسجل هذا ارتفاعًا حادًا من عمليته السابقة "Foxy Wallet" في يوليو، والتي شملت 40 امتدادًا لمتصفح Firefox.
!
تبدأ استراتيجية المجموعة، المسماة "تفريغ التمديد"، بنشر إضافات فيرفوكس تبدو نظيفة مثل أدوات تحميل الفيديو أو منظفات الروابط.
تجمع هذه الإضافات، التي تم إصدارها تحت حسابات ناشرين جديدة، مراجعات إيجابية مزيفة لتبدو موثوقة. لاحقًا، يتم استبدالها بإصدارات خبيثة تتنكر في شكل محافظ مثل ميتا ماسك، ترون لينك، إكسودوس، ورايبي والمحفظة.
بمجرد التثبيت، يقومون بسرقة بيانات الاعتماد من حقول الإدخال وإرسالها إلى خوادم التحكم الخاصة بـ GreedyBear.
!
برامج ضارة مخفية في البرمجيات المقرصنة
لقد ربط المحققون أيضًا ما يقرب من 500 ملف ويندوز خبيث بنفس المجموعة. يعود العديد من هذه الملفات إلى عائلات البرمجيات الخبيثة المعروفة مثل LummaStealer، وبرامج الفدية المشابهة لـ Luca Stealer، والبرمجيات الخبيثة التي تعمل كحمّالات لبرامج ضارة أخرى.
تحدث التوزيع بشكل متكرر من خلال المواقع الإلكترونية الناطقة باللغة الروسية التي تستضيف برامج مخترقة أو "معاد تعبئتها". من خلال استهداف أولئك الذين يبحثون عن برامج مجانية، تصل الهجمات إلى ما هو أبعد من مجتمع العملات المشفرة.
تم العثور أيضًا على برامج ضارة معيارية من قبل Koi Security، حيث يمكن للمشغلين إضافة أو تبديل الوظائف دون الحاجة إلى نشر ملفات جديدة تمامًا.
استنادًا إلى التقارير، بالإضافة إلى هجمات المتصفح والبرامج الضارة، أنشأ GreedyBear مواقع ويب احتيالية تدعي أنها حلول عملة مشفرة حقيقية.
يقال إن بعض هذه الخدمات تقدم محافظ أجهزة، بينما البعض الآخر هو خدمات إصلاح محافظ مزيفة لأجهزة مثل Trezor.
قراءة ذات صلة: الأمر التنفيذي لترامب يمكن أن يكون المحفز الكبير التالي لبيتكوين: الرئيس التنفيذي. كما تتوفر تطبيقات محافظ مزيفة ذات تصميمات جذابة تخدع المستخدمين لإدخال عبارات الاسترداد، والمفاتيح الخاصة، ومعلومات الدفع.
على عكس مواقع التصيد القياسية التي تقوم بنسخ صفحات تسجيل دخول البورصات، تبدو هذه الصفحات الاحتيالية أكثر مثل بوابات المنتجات أو الدعم.
أضافت التقارير أن بعضهم لا يزال نشطًا ويجمع بيانات حساسة، بينما الآخرون في وضع الاستعداد للاستخدام في المستقبل.
وجد المحققون أن ما يقرب من جميع النطاقات المرتبطة بهذه العمليات تعود إلى عنوان IP واحد - 185.208.156.66. يعمل هذا الخادم كمركز الحملة، حيث يتعامل مع بيانات الاعتماد المسروقة، وينسق أنشطة برامج الفدية، ويستضيف مواقع الاحتيال.
صورة مميزة من Unsplash، مخطط من TradingView
! عملية التحرير في bitcoinist تركز على تقديم محتوى تم بحثه بدقة، دقيق، وغير متحيز. نحن نلتزم بمعايير مصادر صارمة، وتخضع كل صفحة لمراجعة دقيقة من قبل فريقنا من الخبراء التقنيين الرائدين والمحررين ذوي الخبرة. تضمن هذه العملية نزاهة المحتوى، وملاءمته، وقيمته لقرائنا.