Фахівці з кібербезпеки компанії Koi Security виявили складну шахрайську кампанію під назвою GreedyBear, яка призвела до крадіжки криптовалюти на суму понад 1 мільйон доларів США. Зловмисники використали 150 підроблених розширень для браузера Firefox, замаскувавши їх під популярні криптогаманці.
Двоетапна стратегія обману систем безпеки
Кіберзлочинці застосували витончену методику, яка дозволила їм обійти захисні механізми Mozilla. На першому етапі шахрайські додатки завантажувались до офіційного магазину розширень без будь-якого шкідливого функціоналу. Така тактика давала змогу успішно проходити автоматизовані перевірки безпеки та накопичувати позитивні відгуки користувачів.
Другий етап передбачав кардинальну зміну стратегії. Зловмисники повністю змінювали брендинг розширень, замінюючи назви та логотипи, а потім впроваджували шкідливий код для перехоплення конфіденційних даних. Основними мішенями стали відомі криптогаманці: MetaMask, TronLink, Exodus та Rabby Wallet.
Принцип роботи вредоносного програмного забезпечення
Інтегроване в розширення шкідливе ПЗ функціонувало як кейлогер — спеціалізована програма для відстеження натискань клавіш. Вредоносний код моніторив введення даних у форми та спливаючі вікна, включаючи seed-фрази для відновлення гаманців та паролі доступу. Зібрана інформація миттєво передавалась на сервери, контрольовані кіберзлочинцями.
Додатково малвар збирав IP-адреси користувачів, що надавало зловмисникам можливість визначати географічне розташування жертв та планувати таргетовані атаки.
Розширення інфраструктури за межі Firefox
Детальний аналіз інфраструктури GreedyBear продемонстрував, що операція виходила далеко за межі магазину Mozilla. Дослідники виявили пов’язану з кампанією мережу з десятків російськомовних веб-сайтів, які поширювали піратське програмне забезпечення з вбудованим шкідливим кодом.
Кіберзлочинці також розгорнули фейкові веб-ресурси, що імітували офіційні сайти популярних криптогаманців Trezor та Jupiter Wallet, а також підроблені сервіси для ремонту апаратних гаманців. Усі ці ресурси були підключені до центрального командного сервера з IP-адресою 185.208.156[.]66.
Впровадження технологій штучного інтелекту
Особливе занепокоєння викликає виявлення у кампанії GreedyBear ознак використання ШІ-технологій. Експерти зазначають, що штучний інтелект дозволяє кіберзлочинцям суттєво прискорити масштабування операцій, урізноманітнити шкідливе навантаження та ефективніше уникати виявлення системами захисту.
Потенційна загроза для екосистеми Chrome
Дослідники попереджають про можливе поширення атаки на Chrome Web Store. Вже ідентифіковано підозрілий додаток Filecoin Wallet для браузера Chrome, який використовує аналогічну логіку викрадення даних та з’єднується з тим самим командним сервером, що й шкідливі розширення для Firefox.
Контрзаходи Mozilla та вдосконалення захисту
Отримавши повідомлення від Koi Security, компанія Mozilla оперативно видалила всі виявлені шкідливі розширення з офіційного магазину. У червні 2024 року розробники запровадили нову систему раннього виявлення шахрайських криптовалютних додатків, яка створює профілі ризику для кожного розширення-гаманця та автоматично сповіщає модераторів про потенційні загрози.
Кампанія GreedyBear ілюструє зростаючу складність кіберзагроз у сфері криптовалют та підкреслює критичну важливість верифікації автентичності розширень перед їх встановленням. Користувачам рекомендується завантажувати криптогаманці виключно з офіційних сайтів розробників, регулярно перевіряти встановлені розширення на предмет підозрілої активності та використовувати багаторівневі системи захисту для своїх цифрових активів.
