GreedyBear – нова измамна кампания краде криптовалути чрез фалшиви разширения за браузъри

GreedyBear – нова измамна кампания краде криптовалути чрез фалшиви разширения за браузъри

В света на криптовалутите измамите не спират да се развиват – и стават все по-хитри. Последната заплаха, която привлече вниманието на специалистите по киберсигурност, е операция, наречена GreedyBear. Тя използва над 150 злонамерени разширения в магазина на браузъра Firefox, за да се представя за популярни крипто портфейли и да краде цифрови активи – щети за над 1 милион долара.

Как работи измамата

Фалшивите разширения се маскират като добре познати портфейли – MetaMask, TronLink, Exodus, Rabby Wallet и други. На пръв поглед изглеждат легитимни, но целта им е да откраднат потребителските данни за достъп до портфейлите и да ги изпратят към сървъри, контролирани от измамниците.

Интересното е, че атакуващите използват техника, наречена Extension Hollowing („изпразване“ на разширения). Вместо да качат зловреден софтуер веднага, те първо:

• Създават акаунт в магазина за разширения.
• Публикуват на пръв поглед безобидни разширения с фалшиви положителни отзиви.
• След време променят кода и добавят злонамерени функции – когато вече никой не следи внимателно.

Тези разширения не само крадат пароли и ключове, но и записват IP адреса на жертвите – вероятно за допълнително проследяване.

Не е първият им удар

GreedyBear е продължение на по-ранна кампания, известна като Foxy Wallet, при която са били публикувани поне 40 подобни зловредни разширения за Firefox. Сега обаче мащабът е много по-голям, а атаката се разпространява и в други браузъри – вече е засечено и фалшиво разширение Filecoin Wallet за Google Chrome.

Измамниците също така поддържат фалшиви уебсайтове, които се представят за крипто услуги или „инструменти за поправка на портфейли“. Те целят да подмамят хората да въведат своите данни или да извършат плащания – водещо до кражба на средства.

Извън браузъра – и по пиратските сайтове

Кампанията не се ограничава само до разширения. Има и разпространение на зловредни програми чрез руски сайтове за пиратски софтуер. След изтегляне, тези програми могат да откраднат информация или дори да инсталират рансъмуер (вирус, който криптира файловете и иска откуп).

Възможно използване на изкуствен интелект

Анализите показват, че част от инструментите и съдържанието в кампанията може да е създадено с помощта на AI. Това позволява на атакуващите да работят бързо и в голям мащаб – и да променят тактиките си при нужда.

Нов вид измама с Ethereum – „търговски бот“, който краде портфейли

Паралелно с GreedyBear, специалисти от SentinelOne предупреждават за друга активна измама. Тя се представя като търговски бот за Ethereum, но всъщност е злонамерен smart contract, който изпразва портфейлите на жертвите.

Измамата се рекламира чрез видеа в YouTube, които изглеждат професионални и дори имат много положителни коментари (вероятно фалшиви). Често тези канали са стари акаунти, купени от черния пазар, за да изглеждат надеждни.

Процесът е следният:

• Жертвата гледа видео и получава линк към „бота“.
• Инсталира smart contract през платформата Remix Solidity Compiler.
• Изпраща ETH към новия „бот“.
• Средствата директно се прехвърлят към крипто портфейл, контролиран от измамниците.

Как да се предпазим

• Инсталирайте разширения само от официални и проверени източници.
• Четете отзивите внимателно – фалшивите често са твърде хвалебствени или повтарят едно и също.
• Не вярвайте на „чудодейни“ крипто инструменти или ботове, които обещават лесна печалба.
• Използвайте хардуерен портфейл и активирайте допълнителни защити като двуфакторна автентикация.
• Бъдете особено внимателни в YouTube – броят на фалшивите канали, рекламиращи измами, расте бързо.

Заключение: GreedyBear и подобните измами показват колко изобретателни могат да бъдат киберпрестъпниците, особено когато използват AI, за да печелят доверието на жертвите. В крипто света златното правило остава – „Не доверявай, проверявай!”