Grupo de Cibercrime GreedyBear Rouba US$ 1 Milhão em Criptomoedas em Ataque Coordenado

Um grupo de cibercrime conhecido como “GreedyBear” roubou mais de US$ 1 milhão em criptomoedas durante um ataque em larga escala e multifacetado, conforme descoberto pela empresa de segurança cibernética Koi Security.

Ao contrário da maioria dos cibercriminosos, que se concentram em uma única tática, o GreedyBear ataca usando três vetores diferentes em conjunto, tornando-se um crime extremamente coordenado. Esses métodos são: extensões falsas de carteiras de navegador, malware direcionado a criptomoedas e sites fraudulentos.

Segundo Tuval Admoni, pesquisador da Koi Security, “A maioria dos grupos escolhe uma abordagem — talvez façam extensões de navegador, ransomware ou sites de phishing. O GreedyBear disse: ‘Por que não os três?’ E funcionou. Espetacularmente.” Admoni afirmou que o grupo utilizou mais de 650 ferramentas maliciosas direcionadas a usuários de carteiras de criptomoedas, roubando mais de US$ 1 milhão no processo.

Extensões Falsas de Carteiras, Malware e Sites Fraudulentos

O grupo publicou mais de 150 extensões falsas de carteiras de criptomoedas no mercado da Firefox. Essas extensões imitam carteiras populares como MetaMask, TronLink, Exodus e Rabby Wallet.

Inicialmente, as extensões são inofensivas para passar pelo processo de revisão da Firefox. Uma vez aprovadas e confiadas pelos usuários, os criminosos as atualizam com código malicioso para roubar senhas e chaves privadas diretamente da interface da carteira.

O GreedyBear também distribuiu cerca de 500 programas de malware voltados para roubo de criptomoedas. Eles incluem roubadores de senha, como o LummaStealer, que rouba informações de carteiras, e ransomware, como o Luca Stealer, que criptografa dispositivos até que as vítimas façam pagamentos em criptomoedas. Muitos desses arquivos maliciosos são disseminados por sites russos que oferecem software pirata ou crackeado.

O terceiro método é um sistema de sites falsos de produtos de criptomoedas. Eles não apenas imitam páginas de login, mas também se passam por páginas autênticas de carteiras digitais, dispositivos físicos ou serviços de recuperação de carteiras. Na realidade, são armadilhas para capturar dados sensíveis de visitantes desavisados.

Um Único Centro de Controle

Todos esses ataques foram rastreados até um único servidor e endereço IP. Ele controla informações roubadas, facilita pedidos de resgate e hospeda sites fraudulentos. Especialistas também acreditam que o GreedyBear está usando código gerado por IA para acelerar a produção de novos ataques, tornando-os mais difíceis de bloquear.

Especialistas em segurança cibernética alertam que isso pode ser o “novo normal” em roubos de criptomoedas, defendendo verificações mais rigorosas nas lojas de extensões, maior transparência dos desenvolvedores e cautela extra dos usuários antes de instalar extensões ou baixar software.

Traduzido por DashDaredevil