Grupo de golpes cripto GreedyBear rouba mais de 1 milhão de dólares usando extensões falsas e malware
Um grupo de agentes de ameaças de criptomoedas denominado "GreedyBear" roubou mais de 1 milhão de dólares no que os pesquisadores descrevem como uma campanha de escala industrial abrangendo extensões maliciosas de navegador, malware e sites de golpes.
- O GreedyBear supostamente roubou mais de 1 milhão de dólares através de extensões maliciosas, malware e sites de golpes.
- Mais de 650 ferramentas maliciosas direcionadas a usuários de carteiras de criptomoedas foram identificadas na campanha.
- Pesquisadores encontraram sinais de código gerado por IA usado para escalar e diversificar ataques.
O GreedyBear "redefiniu o roubo de cripto em escala industrial", de acordo com o pesquisador da Koi Security, Tuval Admoni, que disse que a abordagem do grupo combina múltiplos métodos de ataque comprovados em uma operação coordenada.
Enquanto a maioria dos grupos criminosos cibernéticos se especializa em um único vetor, como phishing, ransomware ou extensões falsas, o GreedyBear perseguiu os três simultaneamente em grande escala.
As descobertas surgem poucos dias depois da empresa de segurança blockchain PeckShield ter relatado um aumento acentuado nos crimes de cripto em julho, com agentes maliciosos roubando aproximadamente 142 milhões de dólares em 17 incidentes importantes.
Extensões maliciosas de navegador
A investigação da Koi Security descobriu que a campanha atual do GreedyBear já implementou mais de 650 ferramentas maliciosas direcionadas a usuários de carteiras de criptomoedas.
Admoni observou que isso marca uma escalada em relação à campanha anterior do grupo, "Foxy Wallet", que em julho expôs 40 extensões maliciosas do Firefox.
O grupo usa uma técnica que a Koi chama de "Extension Hollowing" para contornar verificações de marketplace e ganhar a confiança do usuário.
Os operadores primeiro publicam extensões do Firefox de aparência inofensiva — como sanitizadores de links ou baixadores de vídeos — sob novas contas de editores. Estas são então preenchidas com avaliações positivas falsas antes de serem convertidas em ferramentas que se fazem passar por carteiras, visando MetaMask, TronLink, Exodus e Rabby Wallet.
Uma vez armadas, as extensões coletam credenciais diretamente dos campos de entrada do usuário e as transmitem para o servidor de comando e controle do GreedyBear.
Malware de Cripto
Além das extensões, os pesquisadores encontraram quase 500 executáveis maliciosos do Windows vinculados à mesma infraestrutura.
Esses arquivos abrangem múltiplas famílias de malware, incluindo ladrões de credenciais como o LummaStealer, variantes de ransomware semelhantes ao Luca Stealer e trojans genéricos que provavelmente atuam como carregadores para outras cargas úteis.
A Koi Security observou que muitas dessas amostras aparecem em pipelines de distribuição de malware hospedados em sites em língua russa que oferecem software crackeado, pirateado ou "reempacotado". Este método de distribuição não só amplia o alcance do grupo a usuários menos conscientes da segurança, mas também permite que eles disseminem infecções além do público nativo de cripto.
Os pesquisadores também encontraram amostras de malware que demonstraram capacidades modulares, sugerindo que os operadores podem atualizar cargas úteis ou trocar funções sem implementar malware completamente novo.
Serviços de cripto fraudulentos
Funcionando em paralelo com essas operações de malware, o GreedyBear mantém uma rede de sites fraudulentos que se fazem passar por produtos e serviços de criptomoedas. Esses sites são projetados para coletar informações sensíveis de usuários desprevenidos.
A Koi Security encontrou páginas de destino falsas anunciando carteiras físicas e serviços falsos de reparo de carteiras alegando consertar dispositivos populares como o Trezor. Outras páginas foram encontradas promovendo carteiras digitais falsas ou utilitários de cripto, todos com design de nível profissional.
Ao contrário dos sites de phishing tradicionais que imitam páginas de login de exchanges, esses golpes se apresentam como vitrines de produtos ou serviços de suporte. Os visitantes são atraídos a inserir frases de recuperação de carteira, chaves privadas, informações de pagamento ou outros dados sensíveis, que os atacantes então exfiltram para roubo subsequente ou fraude com cartão de crédito.
A investigação da Koi descobriu que alguns desses domínios ainda estavam ativos e coletando dados, enquanto outros pareciam dormentes, mas prontos para ativação em campanhas futuras.
Um nó central
Além disso, a Koi descobriu que quase todos os domínios conectados às extensões, malware e sites de golpes do GreedyBear resolvem para um único endereço IP — 185.208.156.66.
Este servidor funciona como o centro de comando e controle da operação, gerenciando coleta de credenciais, coordenação de ransomware e hospedagem de sites fraudulentos. Ao consolidar operações em uma infraestrutura, o grupo consegue rastrear vítimas, ajustar cargas úteis e distribuir dados roubados com maior velocidade e eficiência.
De acordo com Admoni, também foram encontrados sinais de "artefatos gerados por IA" dentro do código da campanha, o que torna "mais rápido e fácil do que nunca para os atacantes escalarem operações, diversificarem cargas úteis e evitarem detecção."
"Isso não é uma tendência passageira — é o novo normal. À medida que os atacantes se armam com IA cada vez mais capaz, os defensores devem responder com ferramentas de segurança e inteligência igualmente avançadas", disse Admoni.
Você também pode gostar
Derivativos Agora Impulsionam 90% do Volume de Negociação de Cripto
Derivativos de Ethereum: Navegando Novas Dinâmicas de Mercado
