Una campaña recientemente descubierta llamada GreedyBear Apalancas más de 150 extensiones maliciosas en el mercado de Firefox, diseñada para robar más de $ 1 millón en activos digitales al hacerse pasar por una billetera de criptomonedas popular.
Según Tuval Admoni, un investigador de seguridad de KOI, publicó más de mascaradas de navegador como Metamask, Tronlink, Exodus y Rabby Wallet,
Lo que es notable es que los actores de amenazas usan técnicas que las compañías de ciberseguridad llaman Hollow Extended Hollow, para ser utilizado por Mozilla para evitar salvaguardas que exploten los fideicomisos de los usuarios. Vale la pena señalar que varios aspectos de la campaña fueron documentados por primera vez la semana pasada por el investigador de seguridad Lukasz Olejnik.
«En lugar de tratar de robar extensiones maliciosas más allá de la revisión inicial, primero construiremos una cartera de expansión legal y luego crearemos armas cuando nadie esté mirando», dijo Admoni en un informe publicado el jueves.
Para lograr esto, el atacante primero crea una cuenta de editor en el mercado, carga extensiones inofensivas con características reales, evitando revisiones iniciales, publicar revisiones positivas falsas, crear una ilusión de credibilidad y modificar el interior con características maliciosas.
La extensión falsa está diseñada para capturar las credenciales de billetera ingresadas por usuarios desprevenidos y eliminarlas a un servidor de control del atacante. También recopilamos la dirección IP de la víctima para fines de seguimiento.
Con objetivos similares en mente, la campaña se califica como una extensión de una iteración anterior llamada Foxy Wallet, que incluye actores de amenazas que publican más de 40 extensiones de navegador malicioso para Mozilla Firefox. Los últimos picos en el número de expansiones indican un aumento en la escala de la operación.
Los ataques de emisiones de criptomonedas de billetera falsa aumentan las campañas que distribuyen ejecutables maliciosos en varios sitios rusos, grietas y software pirateado, lo que lleva al robo de información y el despliegue de ransomware.
Los actores de Greedybear descubren la configuración de sitios fraudulentos que vienen como productos y servicios de criptomonedas, como herramientas de reparación de billeteras, y los usuarios pueden dividir las credenciales de billetera o los detalles de pago, lo que lleva a credenciales y fraude financiero.
Koi Security dijo que tres verticales de ataque podrían estar vinculados a un actor de amenaza única en función del hecho de que todos los dominios utilizados en estos esfuerzos apuntan a una sola dirección IP: 185.208.156 (.) 66.
Hay evidencia que sugiere que los ataques relacionados con la extensión divergen para atacar a otros mercados de navegadores. Esto se basa en el descubrimiento de una extensión de Google Chrome que utiliza el mismo servidor C2 y la lógica subyacente para robar credenciales.
Peor aún, el análisis de artefactos revela indicaciones de que puede haberse creado utilizando herramientas con IA. Esto resalta el creciente mal uso de los sistemas de IA por parte de los actores de amenaza para permitir ataques a escala y a velocidad.
«Esta variedad muestra que el grupo no está implementando un solo conjunto de herramientas, sino operando una amplia gama de tuberías de distribución de malware que les permiten cambiar las tácticas cuando sea necesario», dijo Admoni.
«La diferencia es la escala y el alcance. Esto se convirtió en una campaña de credenciales y robo de activos multiplataforma respaldada por cientos de muestras de malware e infraestructura de fraude».
Ethereum Drone posee como un bot comercial para robar cripto
Esta divulgación se produce cuando las leyes centinela indican un fraude de criptomonedas generalizado y generalizado que implica la distribución de contratos inteligentes maliciosos disfrazados de bots comerciales para descargar las billeteras del usuario. Se estima que el esquema fraudulento de Ethereum Droner, que ha estado activo desde principios de 2024, ya ha adquirido más de $ 900,000 actores de amenaza en ganancias robadas.
«Las estafas se venden a través de videos de YouTube que explican la naturaleza de los bots de comercio criptográficos y cómo implementar contratos inteligentes en la plataforma de compilador de solidez remix, un entorno de desarrollo integrado (IDE) basado en la web para proyectos Web3», dijo el investigador Alex Delamotte. «La descripción del video comparte un enlace a un sitio externo que aloja los códigos de contrato inteligentes armados».
Se dice que el video está generado por IA y es publicado por cuentas senior que publican noticias de criptomonedas de otras fuentes como listas de reproducción para desarrollar la legalidad. El video también presenta comentarios abrumadoramente positivos, lo que sugiere que los actores de amenaza están curando activamente la sección de comentarios y eliminando comentarios negativos.
Una de las cuentas de YouTube que promueve el fraude se creó en octubre de 2022. Esto muestra que los estafadores han aumentado de manera lenta y constante la confiabilidad de la cuenta a largo plazo.
El ataque pasa a la siguiente fase cuando la víctima despliega un contrato inteligente. Luego se le indica a la víctima que envíe el ETH a un nuevo contrato. Esto enruta financia a una billetera controlada por actores de amenaza de amenaza.
«La combinación de contenido generado por IA y cuentas de YouTube vendibles significa que los actores con recursos discretos pueden obtener una cuenta de YouTube que considere el algoritmo» establecido «y armada la cuenta y publique contenido personalizado bajo el falso pretexto de legitimidad», dijo Delamott.
Source link
