خانه
ثبت نام / ورود
ماینر ها
ژنراتور
سبد خرید

گروه کلاهبردار ارز دیجیتال GreedyBear بیش از ۱ میلیون دلار با استفاده از افزونه‌های تقلبی و بدافزارها سرقت کرد.


گروه کلاهبردار ارز دیجیتال GreedyBear بیش از ۱ میلیون دلار با استفاده از افزونه‌های تقلبی و بدافزارها سرقت کرد. | ایران ماین

گروهی از بازیگران تهدید ارز دیجیتال به نام "GreedyBear" بیش از ۱ میلیون دلار را در یک کارزار صنعتی که شامل افزونه‌های مخرب مرورگر، بدافزار و وب‌سایت‌های کلاهبرداری است، سرقت کرده‌اند.

خلاصه
  • GreedyBear به‌طوری گزارش‌شده بیش از ۱ میلیون دلار را از طریق افزونه‌های مخرب، بدافزار و وب‌سایت‌های کلاهبرداری دزدیده است.
  • بیش از ۶۵۰ ابزار مخرب تا-target کاربران کیف پول‌های ارز دیجیتال در این کارزار شناسایی شده است.
  • محققان نشانه‌هایی از کد تولید شده توسط هوش مصنوعی را پیدا کردند که برای گسترش و تنوع حملات استفاده می‌شود.

به گفته محقق Koi Security، تووال آدمانی، GreedyBear "تعریف جدیدی از سرقت ارز دیجیتال در مقیاس صنعتی" ارائه کرده است که رویکرد این گروه شامل ترکیب چندین روش حمله اثبات شده در یک عملیات هماهنگ است.

در حالی که بیشتر گروه‌های سایبری در یک وکتور خاص مانند فیشینگ، باج‌افزار یا افزونه‌های جعلی تخصص دارند، GreedyBear همزمان به‌طور گسترده‌ای به همه این سه رویکرد پرداخته است.

این یافته‌ها تنها چند روز پس از آن منتشر شد که شرکت امنیت بلاکچین PeckShield افزایش شدید جرائم ارز دیجیتال را در ماه جولای گزارش کرد، با بازیگران بد که حدود ۱۴۲ میلیون دلار را در ۱۷ حادثه عمده سرقت کردند.

افزونه‌های مخرب مرورگر

تحقیقات Koi Security نشان داد که کارزار کنونی GreedyBear در حال حاضر بیش از ۶۵۰ ابزار مخرب targeting کاربران کیف پول‌های ارز دیجیتال را منتشر کرده است.

آدمانی خاطرنشان کرد که این افزایش چشمگیری نسبت به کارزار قبلی این گروه تحت عنوان "Foxy Wallet" است، که در ماه جولای ۴۰ افزونه مخرب Firefox را افشا کرده بود.

این گروه از تکنیک‌هایی که Koi به آن "Extension Hollowing" می‌گوید برای دور زدن چک‌های بازار و کسب اعتماد کاربران استفاده می‌کند.

اپراتورها ابتدا افزونه‌های بی‌ضرر و بی‌خطر Firefox مانند تصفیه‌کننده‌های لینک یا بارگذاری‌کننده‌های ویدیو را زیر حساب‌های ناشر جدید منتشر می‌کنند. سپس این افزونه‌ها با بررسی‌های مثبت جعلی پر می‌شوند و قبل از اینکه به ابزارهای تقلید کیف پول targeting MetaMask، TronLink، Exodus و Rabby Wallet تبدیل شوند، دچار تغییرات می‌شوند.

بعد از سلاحی شدن، این افزونه‌ها اعتبارنامه‌ها را مستقیماً از فیلدهای ورودی کاربران جمع‌آوری کرده و آن‌ها را به سرور فرمان و کنترل GreedyBear منتقل می‌کنند.

بدافزار ارز دیجیتال

بیشتر از افزونه‌ها، محققان نزدیک به ۵۰۰ فایل اجرایی مخرب Windows مرتبط با همین زیرساخت را پیدا کرده‌اند.

این فایل‌ها شامل چندین خانواده بدافزار هستند، از جمله دزدهای اعتبارنامه مانند LummaStealer، واریانت‌های باج‌افزار مشابه Luca Stealer و تروجان‌های عمومی که احتمالاً به عنوان بارگذار برای بارهای دیگر عمل می‌کنند.

Koi Security خاطرنشان کرد که بسیاری از این نمونه‌ها در خطوط توزیع بدافزار حاضر در وب‌سایت‌های به زبان روسی که نرم‌افزارهای شکسته، غیرقانونی یا "دوباره بسته‌بندی" شده را ارائه می‌دهند، ظاهر می‌شوند. این روش توزیع نه تنها دسترسی گروه را به کاربران با امنیت کمتر گسترش می‌دهد بلکه به آن‌ها این امکان را می‌دهد که عفونت‌ها را فراتر از مخاطبان بومی ارز دیجیتال گسترش دهند.

محققان همچنین نمونه‌هایی از بدافزار را یافتند که نشان‌دهنده قابلیت‌های مدولار بودند، که نشان می‌دهد اپراتورها می‌توانند بارها را به‌روزرسانی کنند یا توابع را بدون به‌خدمت‌گیری بدافزار جدید عوض کنند.

خدمات کلاهبرداری ارز دیجیتال

در کنار این عملیات‌های بدافزاری، GreedyBear یک شبکه از وب‌سایت‌های کلاهبرداری را حفظ می‌کند که محصولات و خدمات ارز دیجیتال را تقلید می‌کنند. این وب‌سایت‌ها طراحی شده‌اند تا اطلاعات حساس را از کاربران بی‌خبر جمع‌آوری کنند.

Koi Security صفحات فرودی جعلی تبلیغ‌کننده کیف پول‌های سخت‌افزاری و خدمات تعمیر کیف پول‌های جعلی که ادعا می‌کنند دستگاه‌های محبوبی مانند Trezor را تعمیر می‌کنند، پیدا کرد. صفحات دیگری نیز بابت ارائه کیف پول‌ها یا ابزارهای ارز دیجیتال جعلی، همه با طراحی در سطح حرفه‌ای، وجود داشتند.

صفحات فرود جعلی طراحی شده برای فریب قربانیان

برخلاف سایت‌های فیشینگ سنتی که صفحات ورود به تبادل را تقلید می‌کنند، این کلاهبرداری‌ها به‌عنوان نمایش‌های محصول یا خدمات پشتیبانی ظاهر می‌شوند. بازدیدکنندگان به وارد کردن عبارات بازیابی کیف پول، کلیدهای خصوصی، اطلاعات پرداخت یا سایر اطلاعات حساس ترغیب می‌شوند، که سپس توسط حمله‌کنندگان برای سرقت‌های بعدی یا کلاهبرداری با کارت اعتباری استخراج می‌شود.

تحقیقات Koi نشان داد که برخی از این دامنه‌ها هنوز فعال و در حال جمع‌آوری داده‌ها هستند، در حالی که دیگران به‌نظر می‌رسید غیرفعال شده‌اند اما آماده برای فعال شدن در کارزارهای آینده هستند.

یک گره مرکزی

علاوه بر این، Koi دریافت که تقریباً تمام دامنه‌های مرتبط با افزونه‌های GreedyBear، بدافزار و وب‌سایت‌های کلاهبرداری به یک آدرس IP واحد — ۱۸۵.۲۰۸.۱۵۶.۶۶ — متصل می‌شوند.

نقشه ارتباطی برای 185.208.156.66

این سرور به‌عنوان مرکز فرمان و کنترل عملیات عمل می‌کند که جمع‌آوری اعتبارنامه‌ها، هماهنگی باج‌افزار و میزبانی وب‌سایت‌های کلاهبرداری را مدیریت می‌کند. با تمرکز عملیات در یک زیرساخت واحد، گروه قادر است قربانیان را پیگیری کرده، بارهای دریافتی را تنظیم کرده و داده‌های سرقت‌شده را با سرعت و کارآمدی بیشتری توزیع کنند.

به گفته آدمانی، همچنین نشانه‌هایی از "آثار تولید شده توسط هوش مصنوعی" در کد این کارزار پیدا شده است که این امر "عملیات را سریع‌تر و آسان‌تر از همیشه می‌سازد که حمله‌کنندگان بتوانند عملیات خود را گسترش دهند، بارها را متنوع سازند و از شناسایی فرار کنند."

"این یک روند گذرا نیست - این وضعیت جدید عادی است. در حالی که حمله‌کننده‌ها خود را با هوش مصنوعی به طور فزاینده‌ای قوی مسلح می‌کنند، مدافعان باید با ابزارها و اطلاعات امنیتی به‌سزایی پاسخ دهند." آدمانی گفت.