Uma campanha maliciosa arrecadou mais de US$ 1 milhão em criptomoedas roubadas usando uma tríade de tipos de ataque por meio de centenas de extensões de navegador, sites e malwares, informou a empresa de cibersegurança Koi Security.
O pesquisador da Koi Security, Tuval Admoni, disse nesta quinta-feira que o grupo malicioso, apelidado pela empresa de “GreedyBear”, “redefiniu o roubo de criptomoedas em escala industrial”.
“A maioria dos grupos escolhe um único caminho, talvez atuem com extensões de navegador, ou se concentrem em ransomware, ou executem sites de phishing fraudulentos, o GreedyBear disse: ‘Por que não os três?’ E funcionou. Espectacularmente”, afirmou Admoni.
Os tipos de ataques realizados pelo GreedyBear já haviam sido usados antes, mas o relatório destacou que os criminosos cibernéticos agora estão aplicando uma variedade de golpes complexos para atingir usuários de criptomoedas, o que, segundo Admoni, mostra que os golpistas pararam de “pensar pequeno”.
Mais de 150 extensões falsas de navegador para criptomoedas
Mais de US$ 1 milhão foi roubado com o uso de mais de 650 ferramentas maliciosas direcionadas especificamente a usuários de carteiras de criptomoedas, disse Admoni.
O grupo publicou mais de 150 extensões maliciosas no marketplace do navegador Firefox, cada uma projetada para se passar por carteiras populares como MetaMask, TronLink, Exodus e Rabby Wallet.
Os criminosos usam uma técnica chamada “Extension Hollowing”, criando primeiro uma extensão legítima para passar pelas verificações das lojas e, posteriormente, tornando-a maliciosa.
Admoni explicou que as extensões maliciosas capturam diretamente as credenciais da carteira a partir dos campos de entrada de usuários dentro de interfaces falsas de carteiras.
“Essa abordagem permite que o GreedyBear contorne a segurança dos marketplaces ao parecer legítimo durante o processo inicial de revisão e, depois, transformar extensões já estabelecidas, que contam com a confiança e avaliações positivas dos usuários, em armas.”
Deddy Lavid, CEO da empresa de cibersegurança Cyvers, disse ao Cointelegraph que a campanha GreedyBear “mostra como os criminosos cibernéticos estão transformando em arma a confiança que os usuários depositam nas lojas de extensões de navegador. Clonando plug-ins populares de carteiras, inflando avaliações e depois trocando silenciosamente o código por malwares que roubam credenciais.”
No início de julho, a Koi Security identificou 40 extensões maliciosas no Firefox, suspeitando que agentes de ameaça russos estivessem por trás do que chamou de campanha “Foxy Wallet”.
Malware com temática cripto
O segundo braço dos ataques do grupo foca em malwares com temática cripto, dos quais a Koi Security descobriu quase 500 amostras.
Stealers de credenciais como o LummaStealer têm como alvo específico as informações de carteiras cripto, enquanto variantes de ransomware, como o Luca Stealer, são projetadas para exigir pagamentos em criptomoedas.
De acordo com Admoni, a maior parte do malware é distribuída por sites russos que oferecem softwares crackeados ou pirateados.
Rede de sites fraudulentos
O terceiro vetor de ataque da tríade é uma rede de sites falsos que se passam por produtos e serviços relacionados a criptomoedas.
“Essas não são páginas típicas de phishing que imitam portais de login; em vez disso, elas se apresentam como páginas falsas sofisticadas de produtos, anunciando carteiras digitais, dispositivos de hardware ou serviços de reparo de carteiras”, disse Admoni.
Ele explicou que um servidor atua como centro de comando e controle, coleta de credenciais, coordenação de ransomware e hospedagem de sites fraudulentos, “permitindo que os atacantes otimizem operações em vários canais”.
A campanha também mostra sinais de uso de código gerado por IA, permitindo rápida expansão e diversificação dos ataques voltados para o setor cripto, representando uma nova evolução no cibercrime direcionado a criptomoedas.
“Isso não é uma tendência passageira; é o novo normal”, alertou Admoni.
“Esses ataques exploram as expectativas dos usuários e contornam defesas estáticas ao injetar lógica maliciosa diretamente nas interfaces das carteiras”, disse Lavid, acrescentando: “Isso ressalta a necessidade de uma verificação mais rigorosa por parte dos fornecedores de navegadores, transparência dos desenvolvedores e vigilância dos usuários.”