!
Доверенное редакционное содержание, проверенное ведущими экспертами отрасли и опытными редакторами. Раскрытие рекламы
Киберпреступная группа под названием "GreedyBear" была обвинена в краже более 1 миллиона долларов в рамках того, что исследователи называют одной из самых масштабных операций по краже криптовалюты, наблюдаемых за последние месяцы.
Связанное чтение: Близнецы Уинклевоссы вкладывают биткойн в горнодобывающий проект, связанный с Трампом. Отчеты от Koi Security показывают, что группа проводит скоординированную кампанию, которая сочетает в себе вредоносные расширения для браузеров, вредоносное ПО и мошеннические веб-сайты — все это под одной сетью.
Расширения, превращенные в инструменты для кражи кошельков
Вместо того чтобы сосредоточиться только на одном методе, GreedyBear объединил несколько. Согласно исследователю Koi Security Тувалу Адмони, группа развернула более 650 вредоносных инструментов в своей последней атаке.
Это отмечает резкий рост по сравнению с предыдущей операцией «Foxy Wallet» в июле, которая включала 40 расширений Firefox.
!
Тактика группы, называемая «Extension Hollowing», начинается с публикации чисто выглядящих дополнений для Firefox, таких как загрузчики видео или очистители ссылок.
Эти расширения, выпущенные под новыми аккаунтами издателей, собирают поддельные положительные отзывы, чтобы выглядеть надежными. Позже они заменяются на вредоносные версии, подражающие кошелькам, таким как MetaMask, TronLink, Exodus и Rabby Wallet.
После установки они захватывают учетные данные из полей ввода и отправляют их на серверы управления GreedyBear.
!
Вредоносное ПО, скрытое в пиратском программном обеспечении
Следователи также связали почти 500 вредоносных файлов Windows с той же группой. Многие из них принадлежат известным семействам вредоносного ПО, таким как LummaStealer, программам-вымогателям, аналогичным Luca Stealer, и троянам, действующим как загрузчики для других вредоносных программ.
Распространение часто происходит через русскоязычные сайты, которые размещают взломанное или "переупакованное" программное обеспечение. Нападающие, нацеливаясь на тех, кто ищет бесплатное программное обеспечение, выходят далеко за пределы криптосообщества.
Модульный вредоносный софт также был обнаружен компанией Koi Security, в котором операторы могут добавлять или заменять функции без необходимости развертывания совершенно новых файлов.
Общая капитализация крипторынка в настоящее время составляет $3.9 триллиона. График: TradingView### Фальшивые крипто-сервисы созданы для кражи данных
Согласно отчетам, помимо атак на браузеры и вредоносного ПО, GreedyBear создал мошеннические веб-сайты, которые выдают себя за подлинные решения в области криптовалют.
Некоторые из них, как говорят, предлагают аппаратные кошельки, а другие являются поддельными услугами по ремонту кошельков для таких устройств, как Trezor.
Связанное чтение: Исполнительный указ Трампа может стать следующим большим катализатором для биткойна: CEO Также предлагаются фальшивые приложения для кошельков с привлекательным дизайном, которые обманывают пользователей, заставляя их вводить фразы восстановления, приватные ключи и платежную информацию.
В отличие от стандартных фишинговых сайтов, которые копируют страницы входа на биржи, эти мошеннические страницы выглядят больше как порталы продуктов или поддержки.
В отчетах добавлено, что некоторые из них остаются активными и продолжают собирать конфиденциальные данные, в то время как другие находятся в режиме ожидания для будущего использования.
Следователи выяснили, что почти все домены, связанные с этими операциями, ведут к одному IP-адресу — 185.208.156.66. Этот сервер является центром кампании, обрабатывающим украденные учетные данные, координирующим деятельность по распространению программ-вымогателей и хостящим мошеннические сайты.
Изображение на главной странице с Unsplash, график с TradingView
! Редакционный процесс для bitcoinist сосредоточен на предоставлении тщательно исследованного, точного и беспристрастного контента. Мы придерживаемся строгих стандартов источников, и каждая страница проходит тщательную проверку нашей команды ведущих технологических экспертов и опытных редакторов. Этот процесс обеспечивает целостность, актуальность и ценность нашего контента для наших читателей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Крипто воры, прозванные «GreedyBear», устроили мошенничество промышленного масштаба - детали
! Доверенное редакционное содержание, проверенное ведущими экспертами отрасли и опытными редакторами. Раскрытие рекламы Киберпреступная группа под названием "GreedyBear" была обвинена в краже более 1 миллиона долларов в рамках того, что исследователи называют одной из самых масштабных операций по краже криптовалюты, наблюдаемых за последние месяцы.
Связанное чтение: Близнецы Уинклевоссы вкладывают биткойн в горнодобывающий проект, связанный с Трампом. Отчеты от Koi Security показывают, что группа проводит скоординированную кампанию, которая сочетает в себе вредоносные расширения для браузеров, вредоносное ПО и мошеннические веб-сайты — все это под одной сетью.
Расширения, превращенные в инструменты для кражи кошельков
Вместо того чтобы сосредоточиться только на одном методе, GreedyBear объединил несколько. Согласно исследователю Koi Security Тувалу Адмони, группа развернула более 650 вредоносных инструментов в своей последней атаке.
Это отмечает резкий рост по сравнению с предыдущей операцией «Foxy Wallet» в июле, которая включала 40 расширений Firefox.
!
Тактика группы, называемая «Extension Hollowing», начинается с публикации чисто выглядящих дополнений для Firefox, таких как загрузчики видео или очистители ссылок.
Эти расширения, выпущенные под новыми аккаунтами издателей, собирают поддельные положительные отзывы, чтобы выглядеть надежными. Позже они заменяются на вредоносные версии, подражающие кошелькам, таким как MetaMask, TronLink, Exodus и Rabby Wallet.
После установки они захватывают учетные данные из полей ввода и отправляют их на серверы управления GreedyBear.
!
Вредоносное ПО, скрытое в пиратском программном обеспечении
Следователи также связали почти 500 вредоносных файлов Windows с той же группой. Многие из них принадлежат известным семействам вредоносного ПО, таким как LummaStealer, программам-вымогателям, аналогичным Luca Stealer, и троянам, действующим как загрузчики для других вредоносных программ.
Распространение часто происходит через русскоязычные сайты, которые размещают взломанное или "переупакованное" программное обеспечение. Нападающие, нацеливаясь на тех, кто ищет бесплатное программное обеспечение, выходят далеко за пределы криптосообщества.
Модульный вредоносный софт также был обнаружен компанией Koi Security, в котором операторы могут добавлять или заменять функции без необходимости развертывания совершенно новых файлов.
Согласно отчетам, помимо атак на браузеры и вредоносного ПО, GreedyBear создал мошеннические веб-сайты, которые выдают себя за подлинные решения в области криптовалют.
Некоторые из них, как говорят, предлагают аппаратные кошельки, а другие являются поддельными услугами по ремонту кошельков для таких устройств, как Trezor.
Связанное чтение: Исполнительный указ Трампа может стать следующим большим катализатором для биткойна: CEO Также предлагаются фальшивые приложения для кошельков с привлекательным дизайном, которые обманывают пользователей, заставляя их вводить фразы восстановления, приватные ключи и платежную информацию.
В отличие от стандартных фишинговых сайтов, которые копируют страницы входа на биржи, эти мошеннические страницы выглядят больше как порталы продуктов или поддержки.
В отчетах добавлено, что некоторые из них остаются активными и продолжают собирать конфиденциальные данные, в то время как другие находятся в режиме ожидания для будущего использования.
Следователи выяснили, что почти все домены, связанные с этими операциями, ведут к одному IP-адресу — 185.208.156.66. Этот сервер является центром кампании, обрабатывающим украденные учетные данные, координирующим деятельность по распространению программ-вымогателей и хостящим мошеннические сайты.
Изображение на главной странице с Unsplash, график с TradingView
! Редакционный процесс для bitcoinist сосредоточен на предоставлении тщательно исследованного, точного и беспристрастного контента. Мы придерживаемся строгих стандартов источников, и каждая страница проходит тщательную проверку нашей команды ведущих технологических экспертов и опытных редакторов. Этот процесс обеспечивает целостность, актуальность и ценность нашего контента для наших читателей.