گروه کلاهبردار ارز دیجیتال GreedyBear بیش از ۱ میلیون دلار با استفاده از افزونههای تقلبی و بدافزارها سرقت کرد.
گروهی از بازیگران تهدید ارز دیجیتال به نام "GreedyBear" بیش از ۱ میلیون دلار را در یک کارزار صنعتی که شامل افزونههای مخرب مرورگر، بدافزار و وبسایتهای کلاهبرداری است، سرقت کردهاند.
- GreedyBear بهطوری گزارششده بیش از ۱ میلیون دلار را از طریق افزونههای مخرب، بدافزار و وبسایتهای کلاهبرداری دزدیده است.
- بیش از ۶۵۰ ابزار مخرب تا-target کاربران کیف پولهای ارز دیجیتال در این کارزار شناسایی شده است.
- محققان نشانههایی از کد تولید شده توسط هوش مصنوعی را پیدا کردند که برای گسترش و تنوع حملات استفاده میشود.
به گفته محقق Koi Security، تووال آدمانی، GreedyBear "تعریف جدیدی از سرقت ارز دیجیتال در مقیاس صنعتی" ارائه کرده است که رویکرد این گروه شامل ترکیب چندین روش حمله اثبات شده در یک عملیات هماهنگ است.
در حالی که بیشتر گروههای سایبری در یک وکتور خاص مانند فیشینگ، باجافزار یا افزونههای جعلی تخصص دارند، GreedyBear همزمان بهطور گستردهای به همه این سه رویکرد پرداخته است.
این یافتهها تنها چند روز پس از آن منتشر شد که شرکت امنیت بلاکچین PeckShield افزایش شدید جرائم ارز دیجیتال را در ماه جولای گزارش کرد، با بازیگران بد که حدود ۱۴۲ میلیون دلار را در ۱۷ حادثه عمده سرقت کردند.
افزونههای مخرب مرورگر
تحقیقات Koi Security نشان داد که کارزار کنونی GreedyBear در حال حاضر بیش از ۶۵۰ ابزار مخرب targeting کاربران کیف پولهای ارز دیجیتال را منتشر کرده است.
آدمانی خاطرنشان کرد که این افزایش چشمگیری نسبت به کارزار قبلی این گروه تحت عنوان "Foxy Wallet" است، که در ماه جولای ۴۰ افزونه مخرب Firefox را افشا کرده بود.
این گروه از تکنیکهایی که Koi به آن "Extension Hollowing" میگوید برای دور زدن چکهای بازار و کسب اعتماد کاربران استفاده میکند.
اپراتورها ابتدا افزونههای بیضرر و بیخطر Firefox مانند تصفیهکنندههای لینک یا بارگذاریکنندههای ویدیو را زیر حسابهای ناشر جدید منتشر میکنند. سپس این افزونهها با بررسیهای مثبت جعلی پر میشوند و قبل از اینکه به ابزارهای تقلید کیف پول targeting MetaMask، TronLink، Exodus و Rabby Wallet تبدیل شوند، دچار تغییرات میشوند.
بعد از سلاحی شدن، این افزونهها اعتبارنامهها را مستقیماً از فیلدهای ورودی کاربران جمعآوری کرده و آنها را به سرور فرمان و کنترل GreedyBear منتقل میکنند.
بدافزار ارز دیجیتال
بیشتر از افزونهها، محققان نزدیک به ۵۰۰ فایل اجرایی مخرب Windows مرتبط با همین زیرساخت را پیدا کردهاند.
این فایلها شامل چندین خانواده بدافزار هستند، از جمله دزدهای اعتبارنامه مانند LummaStealer، واریانتهای باجافزار مشابه Luca Stealer و تروجانهای عمومی که احتمالاً به عنوان بارگذار برای بارهای دیگر عمل میکنند.
Koi Security خاطرنشان کرد که بسیاری از این نمونهها در خطوط توزیع بدافزار حاضر در وبسایتهای به زبان روسی که نرمافزارهای شکسته، غیرقانونی یا "دوباره بستهبندی" شده را ارائه میدهند، ظاهر میشوند. این روش توزیع نه تنها دسترسی گروه را به کاربران با امنیت کمتر گسترش میدهد بلکه به آنها این امکان را میدهد که عفونتها را فراتر از مخاطبان بومی ارز دیجیتال گسترش دهند.
محققان همچنین نمونههایی از بدافزار را یافتند که نشاندهنده قابلیتهای مدولار بودند، که نشان میدهد اپراتورها میتوانند بارها را بهروزرسانی کنند یا توابع را بدون بهخدمتگیری بدافزار جدید عوض کنند.
خدمات کلاهبرداری ارز دیجیتال
در کنار این عملیاتهای بدافزاری، GreedyBear یک شبکه از وبسایتهای کلاهبرداری را حفظ میکند که محصولات و خدمات ارز دیجیتال را تقلید میکنند. این وبسایتها طراحی شدهاند تا اطلاعات حساس را از کاربران بیخبر جمعآوری کنند.
Koi Security صفحات فرودی جعلی تبلیغکننده کیف پولهای سختافزاری و خدمات تعمیر کیف پولهای جعلی که ادعا میکنند دستگاههای محبوبی مانند Trezor را تعمیر میکنند، پیدا کرد. صفحات دیگری نیز بابت ارائه کیف پولها یا ابزارهای ارز دیجیتال جعلی، همه با طراحی در سطح حرفهای، وجود داشتند.
برخلاف سایتهای فیشینگ سنتی که صفحات ورود به تبادل را تقلید میکنند، این کلاهبرداریها بهعنوان نمایشهای محصول یا خدمات پشتیبانی ظاهر میشوند. بازدیدکنندگان به وارد کردن عبارات بازیابی کیف پول، کلیدهای خصوصی، اطلاعات پرداخت یا سایر اطلاعات حساس ترغیب میشوند، که سپس توسط حملهکنندگان برای سرقتهای بعدی یا کلاهبرداری با کارت اعتباری استخراج میشود.
تحقیقات Koi نشان داد که برخی از این دامنهها هنوز فعال و در حال جمعآوری دادهها هستند، در حالی که دیگران بهنظر میرسید غیرفعال شدهاند اما آماده برای فعال شدن در کارزارهای آینده هستند.
یک گره مرکزی
علاوه بر این، Koi دریافت که تقریباً تمام دامنههای مرتبط با افزونههای GreedyBear، بدافزار و وبسایتهای کلاهبرداری به یک آدرس IP واحد — ۱۸۵.۲۰۸.۱۵۶.۶۶ — متصل میشوند.
این سرور بهعنوان مرکز فرمان و کنترل عملیات عمل میکند که جمعآوری اعتبارنامهها، هماهنگی باجافزار و میزبانی وبسایتهای کلاهبرداری را مدیریت میکند. با تمرکز عملیات در یک زیرساخت واحد، گروه قادر است قربانیان را پیگیری کرده، بارهای دریافتی را تنظیم کرده و دادههای سرقتشده را با سرعت و کارآمدی بیشتری توزیع کنند.
به گفته آدمانی، همچنین نشانههایی از "آثار تولید شده توسط هوش مصنوعی" در کد این کارزار پیدا شده است که این امر "عملیات را سریعتر و آسانتر از همیشه میسازد که حملهکنندگان بتوانند عملیات خود را گسترش دهند، بارها را متنوع سازند و از شناسایی فرار کنند."
"این یک روند گذرا نیست - این وضعیت جدید عادی است. در حالی که حملهکنندهها خود را با هوش مصنوعی به طور فزایندهای قوی مسلح میکنند، مدافعان باید با ابزارها و اطلاعات امنیتی بهسزایی پاسخ دهند." آدمانی گفت.
