Contenido editorial de confianza, revisado por expertos de la industria y editores experimentados. Divulgación de anuncios
Un grupo de cibercriminales llamado “GreedyBear” ha sido acusado de robar más de $1 millón a través de lo que los investigadores dicen que es una de las operaciones de robo de criptomonedas más extensas vistas en meses.
Lectura relacionada: Los gemelos Winklevoss inyectan Bitcoin en una empresa minera vinculada a Trump. Informes de Koi Security revelan que el grupo está llevando a cabo una campaña coordinada que mezcla extensiones de navegador maliciosas, malware y sitios web de estafa, todo bajo una misma red.
Extensiones Convertidas en Herramientas para Robar Monederos
En lugar de centrarse en un solo método, GreedyBear ha combinado varios. Según el investigador de Koi Security, Tuval Admoni, el grupo ha desplegado más de 650 herramientas maliciosas en su último impulso.
Esto marca un fuerte aumento desde su anterior operación "Foxy Wallet" en julio, que involucró 40 extensiones de Firefox.
La táctica del grupo, llamada "Extension Hollowing", comienza con la publicación de complementos de Firefox que parecen limpios, como descargadores de videos o limpiadores de enlaces.
Estas extensiones, lanzadas bajo nuevas cuentas de editor, recopilan reseñas positivas falsas para parecer confiables. Posteriormente, se intercambian por versiones maliciosas que se hacen pasar por billeteras como MetaMask, TronLink, Exodus y Rabby Wallet.
Una vez instalados, capturan credenciales de los campos de entrada y las envían a los servidores de control de GreedyBear.
Malware Oculto En Software Pirata
Los investigadores también han vinculado casi 500 archivos maliciosos de Windows al mismo grupo. Muchos de estos pertenecen a familias de malware bien conocidas, como LummaStealer, ransomware similar a Luca Stealer, y troyanos que actúan como cargadores para otros programas dañinos.
La distribución ocurre con frecuencia a través de sitios web en ruso que alojan software crackeado o "reempacado". Al dirigirse a aquellos que buscan software gratuito, los atacantes alcanzan mucho más allá de la comunidad cripto.
El malware modular también fue encontrado por Koi Security, en el cual los operadores pueden agregar o intercambiar funciones sin desplegar archivos completamente nuevos.
La capitalización total del mercado de criptomonedas actualmente es de $3.9 billones. Gráfico: TradingView### Servicios de criptomonedas falsos creados para robar datos.
Según informes, además de los ataques de navegador y malware, GreedyBear ha establecido sitios web fraudulentos que se hacen pasar por soluciones genuinas de criptomonedas.
Se dice que algunos de estos ofrecen carteras de hardware, y otros son servicios falsos de reparación de carteras para dispositivos como Trezor.
Lectura relacionada: La orden ejecutiva de Trump podría ser el próximo gran catalizador para Bitcoin: CEO. También se ofrecen aplicaciones de billetera falsas con diseños atractivos que engañan a los usuarios para que ingresen frases de recuperación, claves privadas e información de pago.
A diferencia de los sitios de phishing estándar que copian las páginas de inicio de sesión de los intercambios, estas páginas de estafa se parecen más a portales de productos o de soporte.
Los informes añadieron que algunos de ellos siguen activos y todavía están recolectando datos sensibles, mientras que otros están en espera para un uso futuro.
Los investigadores descubrieron que casi todos los dominios relacionados con estas operaciones conducen de vuelta a una única dirección IP: 185.208.156.66. Este servidor actúa como el centro de la campaña, manejando credenciales robadas, coordinando actividades de ransomware y alojando sitios de estafa.
Imagen destacada de Unsplash, gráfico de TradingView
Proceso Editorial para bitcoinist se centra en ofrecer contenido minuciosamente investigado, preciso y sin sesgos. Mantenemos estrictos estándares de fuentes, y cada página se somete a una revisión diligente por parte de nuestro equipo de expertos en tecnología de primer nivel y editores experimentados. Este proceso garantiza la integridad, relevancia y valor de nuestro contenido para nuestros lectores.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los ladrones de Cripto apodados ‘GreedyBear’ ejecutan un fraude a escala industrial - Detalles
Lectura relacionada: Los gemelos Winklevoss inyectan Bitcoin en una empresa minera vinculada a Trump. Informes de Koi Security revelan que el grupo está llevando a cabo una campaña coordinada que mezcla extensiones de navegador maliciosas, malware y sitios web de estafa, todo bajo una misma red.
Extensiones Convertidas en Herramientas para Robar Monederos
En lugar de centrarse en un solo método, GreedyBear ha combinado varios. Según el investigador de Koi Security, Tuval Admoni, el grupo ha desplegado más de 650 herramientas maliciosas en su último impulso.
Esto marca un fuerte aumento desde su anterior operación "Foxy Wallet" en julio, que involucró 40 extensiones de Firefox.
La táctica del grupo, llamada "Extension Hollowing", comienza con la publicación de complementos de Firefox que parecen limpios, como descargadores de videos o limpiadores de enlaces.
Estas extensiones, lanzadas bajo nuevas cuentas de editor, recopilan reseñas positivas falsas para parecer confiables. Posteriormente, se intercambian por versiones maliciosas que se hacen pasar por billeteras como MetaMask, TronLink, Exodus y Rabby Wallet.
Una vez instalados, capturan credenciales de los campos de entrada y las envían a los servidores de control de GreedyBear.
Malware Oculto En Software Pirata
Los investigadores también han vinculado casi 500 archivos maliciosos de Windows al mismo grupo. Muchos de estos pertenecen a familias de malware bien conocidas, como LummaStealer, ransomware similar a Luca Stealer, y troyanos que actúan como cargadores para otros programas dañinos.
La distribución ocurre con frecuencia a través de sitios web en ruso que alojan software crackeado o "reempacado". Al dirigirse a aquellos que buscan software gratuito, los atacantes alcanzan mucho más allá de la comunidad cripto.
El malware modular también fue encontrado por Koi Security, en el cual los operadores pueden agregar o intercambiar funciones sin desplegar archivos completamente nuevos.
Según informes, además de los ataques de navegador y malware, GreedyBear ha establecido sitios web fraudulentos que se hacen pasar por soluciones genuinas de criptomonedas.
Se dice que algunos de estos ofrecen carteras de hardware, y otros son servicios falsos de reparación de carteras para dispositivos como Trezor.
Lectura relacionada: La orden ejecutiva de Trump podría ser el próximo gran catalizador para Bitcoin: CEO. También se ofrecen aplicaciones de billetera falsas con diseños atractivos que engañan a los usuarios para que ingresen frases de recuperación, claves privadas e información de pago.
A diferencia de los sitios de phishing estándar que copian las páginas de inicio de sesión de los intercambios, estas páginas de estafa se parecen más a portales de productos o de soporte.
Los informes añadieron que algunos de ellos siguen activos y todavía están recolectando datos sensibles, mientras que otros están en espera para un uso futuro.
Los investigadores descubrieron que casi todos los dominios relacionados con estas operaciones conducen de vuelta a una única dirección IP: 185.208.156.66. Este servidor actúa como el centro de la campaña, manejando credenciales robadas, coordinando actividades de ransomware y alojando sitios de estafa.
Imagen destacada de Unsplash, gráfico de TradingView