Исследователи кибербезопасности из компании Koi Security выявили крупномасштабную мошенническую операцию GreedyBear, которая нанесла серьезный ущерб пользователям браузера Firefox. В результате атаки злоумышленники похитили криптовалюту на сумму свыше 1 миллиона долларов США, используя 150 вредоносных расширений, замаскированных под популярные криптокошельки.
Механизм атаки: от легитимных дополнений до вредоносного кода
Киберпреступники применили изощренную стратегию обмана системы безопасности Mozilla. Первоначально мошеннические расширения загружались в официальный магазин дополнений без какого-либо вредоносного функционала. Такой подход позволял им успешно проходить автоматизированные проверки безопасности и накапливать положительные отзывы от ничего не подозревающих пользователей.
На втором этапе атаки злоумышленники кардинально изменяли тактику. Они полностью переделывали брендинг расширений, заменяя оригинальные названия и логотипы, после чего внедряли вредоносный код для перехвата конфиденциальных данных. Целью атаки стали популярные криптокошельки: MetaMask, TronLink, Exodus и Rabby Wallet.
Технические особенности вредоносного ПО
Встроенный в расширения малварь функционировал как кейлоггер — программа для перехвата нажатий клавиш. Вредоносный код отслеживал ввод данных в формы и всплывающие окна, включая секретные фразы восстановления кошельков и пароли. Собранная информация немедленно передавалась на серверы, контролируемые киберпреступниками.
Дополнительно малварь собирала IP-адреса пользователей, что давало злоумышленникам возможность отслеживать географическое местоположение жертв и планировать целенаправленные атаки.
Расширение кибератаки за пределы Firefox
Анализ инфраструктуры GreedyBear показал, что операция выходила далеко за рамки магазина Mozilla. Исследователи обнаружили связанную с кампанией сеть из десятков русскоязычных сайтов, распространяющих пиратское программное обеспечение с внедренным вредоносным кодом.
Злоумышленники также создали поддельные веб-ресурсы, имитирующие официальные сайты известных криптокошельков Trezor и Jupiter Wallet, а также фальшивые сервисы по ремонту аппаратных кошельков. Все эти ресурсы были связаны с центральным командным сервером по IP-адресу 185.208.156[.]66.
Использование искусственного интеллекта
Особую тревогу вызывает обнаружение в кампании GreedyBear признаков использования технологий искусственного интеллекта. Эксперты отмечают, что ИИ позволяет киберпреступникам значительно ускорить масштабирование операций, диверсифицировать вредоносные полезные нагрузки и эффективнее избегать обнаружения системами безопасности.
Угроза распространения на Chrome
Исследователи предупреждают о потенциальном расширении атаки на Chrome Web Store. Уже обнаружено подозрительное расширение Filecoin Wallet для браузера Chrome, которое использует аналогичную логику кражи данных и связывается с тем же командным сервером, что и вредоносные дополнения для Firefox.
Ответные меры Mozilla
После получения уведомления от Koi Security компания Mozilla оперативно удалила все выявленные вредоносные расширения из официального магазина. В июне 2024 года разработчики представили новую систему раннего обнаружения мошеннических криптовалютных дополнений, которая создает профили риска для каждого расширения-кошелька и автоматически предупреждает модераторов о потенциальных угрозах.
Кампания GreedyBear демонстрирует растущую изощренность киберугроз в сфере криптовалют и подчеркивает критическую важность проверки подлинности расширений перед их установкой. Пользователям рекомендуется загружать криптокошельки исключительно с официальных сайтов разработчиков и регулярно проверять установленные расширения на предмет подозрительной активности. Только комплексный подход к цифровой безопасности поможет защитить криптовалютные активы от современных кибератак.
