Una sofisticada operación cibercriminal conocida como Greedybear ha orquestado una de las campañas de robo de criptomonedas más extensas hasta la fecha, desplegando más de 650 herramientas maliciosas en múltiples vectores de ataque para robar más de $ 1 millón de víctimas indescrutas.
A diferencia de los grupos de amenazas tradicionales que generalmente se especializan en métodos de ataque único, GreedyBear ha adoptado un enfoque a escala industrial, operando simultáneamente extensiones de navegador maliciosas, distribuyendo cientos de ejecutables de malware y manteniendo la infraestructura de phishing elaborada.
La campaña representa una escalada significativa en las operaciones cibercriminales, utilizando más de 150 extensiones de Firefox armadas, casi 500 ejecutables de Windows maliciosos y docenas de sitios web fraudulentos disfrazados de los servicios legítimos de criptomonedas.
Extensiones genéricas cargadas por el atacante antes del armado (fuente – medio)
Todos los componentes de ataque convergen en una infraestructura centralizada de comando y control, con dominios que se resuelven a la dirección IP 185.208.156.66, lo que permite la coordinación simplificada en múltiples vectores de amenazas.
Lo que distingue a los codiciados de las operaciones cibercriminales convencionales es su enfoque sistemático para escalar ataques utilizando inteligencia artificial.
El análisis del código de la campaña revela firmas claras de artefactos generados por IA, lo que permite a los atacantes producir rápidamente cargas útiles diversas mientras evaden mecanismos de detección tradicionales.
Investigadores de seguridad de KOI identificado Esta evolución como parte de una tendencia más amplia donde los ciberdelincuentes aprovechan las herramientas de IA avanzadas para acelerar el desarrollo y el despliegue del ataque.
La estrategia de extensión del navegador del grupo de amenazas emplea una técnica sofisticada denominada “hueco de extensión” para eludir los controles de seguridad del mercado.
En lugar de intentar escabullir extensiones maliciosas más allá de las revisiones iniciales, los operadores primero establecen perfiles de editor legítimos mediante la carga de utilidades inocuas, como desinfectantes de enlaces y descargadores de YouTube.
Después de acumular revisiones positivas y confianza de los usuarios, sistemáticamente “salen” de estas extensiones, reemplazando la funcionalidad legítima con el código de recolección de credenciales mientras preservan la reputación establecida.
Mecanismos de recolección de credenciales avanzados
Las extensiones armadas demuestran una notable sofisticación técnica en sus capacidades de extracción de credenciales.
Una de la página de descarga de los troyanos de rsload.net (fuente – Medium)
Cada extensión maliciosa se dirige a billeteras de criptomonedas populares que incluyen metamask, tronlink, exodo y billetera de rabby al imitar con precisión sus interfaces auténticas.
El malware captura las credenciales de la billetera directamente de los campos de entrada del usuario dentro de la interfaz emergente de la extensión, empleando funciones de JavaScript que interceptan los envíos antes de que alcancen procesos de validación legítimos.
Servicios de reparación de billetera que afirman arreglar dispositivos Trezor (fuente-Medium)
Durante la inicialización, las extensiones ejecutan funciones de vigilancia adicionales, transmitiendo las direcciones IP externos de las víctimas a servidores remotos para el seguimiento y los posibles fines de orientación.
Esta recopilación de datos permite a los operadores generar perfiles integrales de víctimas al tiempo que mantiene la seguridad operativa a través de la infraestructura distribuida.
Los fragmentos de código revelan rutinas de exfiltración de credenciales estandarizadas en todas las extensiones, lo que sugiere protocolos de desarrollo y despliegue centralizados que permiten una ampliación rápida de las operaciones maliciosas mientras mantienen la consistencia en la ejecución del ataque.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
