El grupo de estafa de criptomoneda GreedyBear roba más de 1 millón de dólares usando extensiones falsas y malware
Un grupo de actores de amenazas de criptomonedas apodado "GreedyBear" ha robado más de $1 millón en lo que los investigadores describen como una campaña a escala industrial que abarca extensiones maliciosas de navegador, malware y sitios web de estafa.
- GreedyBear ha robado supuestamente más de $1 millón a través de extensiones maliciosas, malware y sitios web de estafa.
- Se identificaron más de 650 herramientas maliciosas dirigidas a usuarios de billeteras de criptomonedas en la campaña.
- Los investigadores encontraron signos de código generado por IA utilizado para escalar y diversificar los ataques.
GreedyBear ha "redefinido el robo de criptomonedas a escala industrial", según el investigador de Koi Security, Tuval Admoni, quien dijo que el enfoque del grupo combina múltiples métodos de ataque probados en una operación coordinada.
Mientras que la mayoría de los grupos cibercriminales se especializan en un solo vector, como phishing, ransomware o extensiones falsas, GreedyBear ha perseguido los tres simultáneamente a gran escala.
Los hallazgos llegan apenas días después de que la firma de seguridad blockchain PeckShield reportara un fuerte aumento en los delitos cripto en julio, con actores maliciosos robando aproximadamente $142 millones en 17 incidentes importantes.
Extensiones maliciosas de navegador
La investigación de Koi Security encontró que la campaña actual de GreedyBear ya ha desplegado más de 650 herramientas maliciosas dirigidas a usuarios de billeteras de criptomonedas.
Admoni señaló que esto marca una escalada desde la campaña anterior del grupo "Foxy Wallet", que en julio expuso 40 extensiones maliciosas de Firefox.
El grupo utiliza una técnica que Koi llama "Extension Hollowing" para eludir las verificaciones del mercado y ganar la confianza del usuario.
Los operadores primero publican extensiones de Firefox de apariencia inofensiva — como desinfectantes de enlaces o descargadores de videos — bajo nuevas cuentas de editor. Luego se rellenan con reseñas positivas falsas antes de convertirse en herramientas que suplantan billeteras dirigidas a MetaMask, TronLink, Exodus y Rabby Wallet.
Una vez armadas, las extensiones recolectan credenciales directamente de los campos de entrada del usuario y las transmiten al servidor de comando y control de GreedyBear.
Malware de criptomonedas
Más allá de las extensiones, los investigadores encontraron casi 500 ejecutables maliciosos de Windows vinculados a la misma infraestructura.
Estos archivos abarcan múltiples familias de malware, incluidos robadores de credenciales como LummaStealer, variantes de ransomware similares a Luca Stealer y troyanos genéricos que probablemente actúan como cargadores para otros payloads.
Koi Security señaló que muchas de estas muestras aparecen en canales de distribución de malware alojados en sitios web en idioma ruso que ofrecen software crackeado, pirateado o "reempaquetado". Este método de distribución no solo amplía el alcance del grupo a usuarios menos conscientes de la seguridad, sino que también les permite sembrar infecciones más allá de la audiencia nativa de criptomonedas.
Los investigadores también encontraron muestras de malware que demostraban capacidades modulares, lo que sugiere que los operadores pueden actualizar payloads o intercambiar funciones sin implementar malware completamente nuevo.
Servicios cripto fraudulentos
Paralelamente a estas operaciones de malware, GreedyBear mantiene una red de sitios web fraudulentos que suplantan productos y servicios de criptomonedas. Estos sitios web están diseñados para recolectar información sensible de usuarios desprevenidos.
Koi Security encontró páginas de destino falsas que anuncian billeteras hardware y servicios fraudulentos de reparación de billeteras que afirman arreglar dispositivos populares como Trezor. Se descubrió que otras páginas promocionaban billeteras digitales falsas o utilidades cripto, todas con un diseño de nivel profesional.
A diferencia de los sitios de phishing tradicionales que imitan páginas de inicio de sesión de exchanges, estas estafas se presentan como exhibiciones de productos o servicios de soporte. Los visitantes son atraídos a ingresar frases de recuperación de billetera, claves privadas, información de pago u otros datos sensibles, que los atacantes luego extraen para robos posteriores o fraudes con tarjetas de crédito.
La investigación de Koi encontró que algunos de estos dominios todavía estaban activos y recopilando datos, mientras que otros parecían inactivos pero listos para activarse en campañas futuras.
Un nodo central
Además, Koi descubrió que casi todos los dominios conectados a las extensiones, malware y sitios web de estafa de GreedyBear se resuelven en una sola dirección IP — 185.208.156.66.
Este servidor funciona como el centro de comando y control de la operación, gestionando la recopilación de credenciales, la coordinación de ransomware y el alojamiento de sitios web fraudulentos. Al consolidar las operaciones en una infraestructura, el grupo puede rastrear víctimas, ajustar payloads y distribuir datos robados con mayor velocidad y eficiencia.
Según Admoni, también se encontraron signos de "artefactos generados por IA" dentro del código de la campaña, lo que hace que sea "más rápido y fácil que nunca para los atacantes escalar operaciones, diversificar payloads y evadir la detección".
"Esto no es una tendencia pasajera — es la nueva normalidad. A medida que los atacantes se arman con IA cada vez más capaz, los defensores deben responder con herramientas de seguridad e inteligencia igualmente avanzadas", dijo Admoni.
También te puede interesar
Noticias Cripto: JP Morgan Establece un Objetivo de $170K para Bitcoin, Por Qué el Smart Money Está Girando hacia Este Token de Utilidad Emergente
Revolution AI presenta infraestructura de gestión inteligente de activos de nivel empresarial para inversores individuales
