لصوص العملات الرقمية المسماة ‘GreedyBear’ ينفذون عملية احتيال على نطاق صناعي – التفاصيل

اتُهمت مجموعة إجرامية إلكترونية تسمى "GreedyBear" بسرقة أكثر من مليون دولار من خلال ما يقول الباحثون إنه واحدة من عمليات سرقة العملات الرقمية الأكثر انتشارًا التي شوهدت في الأشهر الأخيرة.

تكشف تقارير من Koi Security أن المجموعة تقوم بحملة منسقة تجمع بين ملحقات المتصفح الضارة، والبرمجيات الخبيثة، ومواقع الاحتيال — جميعها تحت شبكة واحدة.

تحويل الملحقات إلى أدوات لسرقة المحافظ

بدلاً من التركيز على طريقة واحدة فقط، جمعت GreedyBeAR بين عدة طرق. وفقًا للباحث في Koi Security توفال أدموني، نشرت المجموعة أكثر من 650 أداة ضارة في أحدث حملتها.

وهذا يمثل ارتفاعًا حادًا من عملية "Foxy Wallet" السابقة في يوليو، والتي تضمنت 40 ملحقًا لـ Firefox.

تبدأ تكتيكات المجموعة، المسماة "ExtENSion Hollowing"، بنشر ملحقات Firefox تبدو نظيفة مثل أدوات تنزيل الفيديو أو تنظيف الروابط.

يتم إصدار هذه الملحقات تحت حسابات ناشر جديدة، وتجمع تقييمات إيجابية مزيفة لتبدو موثوقة. لاحقًا، يتم استبدالها بإصدارات ضارة تحاكي محافظ مثل MetaMask وtronLink وExodus وRabby Wallet.

بمجرد تثبيتها، تقوم بجمع بيانات الاعتماد من حقول الإدخال وإرسالها إلى خوادم تحكم GreedyBear.

برمجيات خبيثة مخبأة في برامج مقرصنة

ربط المحققون أيضًا ما يقرب من 500 ملف ضار لنظام Windows بنفس المجموعة. ينتمي العديد من هذه الملفات إلى عائلات برمجيات خبيثة معروفة مثل LummaStealer، وبرامج الفدية المشابهة لـ Luca Stealer، وأحصنة طروادة التي تعمل كحوامل لبرامج ضارة أخرى.

غالبًا ما يتم التوزيع عبر مواقع ناطقة بالروسية تستضيف برامج مقرصنة أو "معاد تجميعها". يستهدف المهاجمون أولئك الذين يبحثون عن برامج مجانية، مما يجعلهم يصلون إلى ما هو أبعد من مجتمع العملات الرقمية.

وجدت Koi Security أيضًا برمجيات خبيثة معيارية، حيث يمكن للمشغلين إضافة أو تبديل الوظائف دون نشر ملفات جديدة بالكامل.

إنشاء خدمات عملات رقمية مزيفة لسرقة البيانات

استنادًا إلى التقارير، بالإضافة إلى هجمات المتصفح والبرمجيات الخبيثة، أنشأت GreedyBear مواقع ويب احتيالية تزعم أنها حلول عملات رقمية حقيقية.

يقال إن بعض هذه المواقع تقدم محافظ أجهزة، بينما البعض الآخر يقدم خدمات إصلاح محافظ مزيفة لأجهزة مثل Trezor.

كما تُعرض تطبيقات محفظة مزيفة بتصاميم جذابة تخدع المستخدمين لإدخال عبارات الاسترداد والمفاتيح الخاصة ومعلومات الدفع.

على عكس مواقع التصيد الاحتيالي القياسية التي تنسخ صفحات تسجيل الدخول للتبادلات، تبدو هذه الصفحات الاحتيالية أكثر مثل بوابات المنتجات أو الدعم.

وأضافت التقارير أن بعضها لا يزال نشطًا ويجمع بيانات حساسة، بينما البعض الآخر في وضع الاستعداد للاستخدام المستقبلي.

وجد المحققون أن جميع النطاقات تقريبًا المرتبطة بهذه العمليات تؤدي إلى عنوان IP واحد — 185.208.156.66. يعمل هذا الخادم كمركز للحملة، حيث يتعامل مع بيانات الاعتماد المسروقة، وينسق أنشطة برامج الفدية، ويستضيف مواقع الاحتيال.

الصورة المميزة من Unsplash، الرسم البياني من TradingView

ترجمة: SatsM1ner