" Компания Koi Security, специализирующаяся на кибербезопасности, раскрыла деятельность преступной группы под названием GreedyBear, которая похитила более $1 млн в криптовалюте с помощью сотен поддельных браузерных расширений, вредоносного ПО и мошеннических сайтов.
Исследователь Koi Security Тувал Адмони заявил, что GreedyBear «переосмыслила кражу криптовалют в промышленных масштабах», используя три взаимодополняющих метода атак. В отличие от большинства групп, которые сосредотачиваются на одном направлении, GreedyBear одновременно эксплуатирует уязвимости в браузерных расширениях, распространяет вредоносное ПО и создает фишинговые сайты.
Более 150 поддельных расширений для криптокошельков
По данным исследования, злоумышленники опубликовали свыше 150 вредоносных расширений в магазине приложений Firefox. Эти плагины имитируют популярные криптокошельки, включая MetaMask, TronLink, Exodus и Rabby Wallet.
Группа использует технику «Extension Hollowing»: сначала создает легитимное расширение для прохождения проверки, а затем модифицирует его во вредоносное. Такие расширения перехватывают учетные данные пользователей прямо из интерфейсов поддельных кошельков.
«Это позволяет обходить систему безопасности магазина приложений, — пояснил Адмони. — Расширения получают доверие пользователей и положительные отзывы, прежде чем становятся оружием мошенников».
Генеральный директор Cyvers Дедди Лавид отметил, что кампания демонстрирует, как преступники эксплуатируют доверие к официальным магазинам расширений:
«Они клонируют популярные плагины, накручивают отзывы и незаметно внедряют вредоносный код».
Почти 500 образцов крипто-вредоносного ПО
Второй вектор атак включает почти 500 образцов специализированного вредоносного ПО. Среди них — похитители учетных данных вроде LummaStealer, нацеленные на информацию из криптокошельков, и программы-вымогатели, такие как Luca Stealer, требующие выплат в криптовалюте.
По словам Адмони, основными каналами распространения стали российские сайты, предлагающие взломанное или пиратское программное обеспечение.
Сеть мошеннических сайтов
Третий компонент — сеть фишинговых сайтов, маскирующихся под легальные криптовалютные сервисы. В отличие от типичных фишинговых страниц, эти ресурсы имитируют официальные сайты кошельков, аппаратных устройств и услуг по восстановлению доступа.
Все операции координируются через единый сервер, что позволяет злоумышленникам эффективно управлять разными каналами атак. Исследователи также обнаружили признаки использования ИИ-генерации кода, что ускоряет масштабирование и диверсификацию атак.
«Это не временная тенденция, а новая норма в криптопреступности», — предупредил Адмони.
Лавид добавил, что подобные атаки требуют более строгой проверки со стороны разработчиков браузеров и повышенной бдительности пользователей.
