11.08.2025
1 хв
497
Хакерська група GreedyBear, відома крадіжками криптовалют, перейшла до більшої стратегії, поєднавши 150 шкідливих розширень Firefox, програм-вимагачів і десятки підроблених сайтів. За інформацією дослідників, зловмисники вже викрали понад 1 млн $ у криптоактивах.
За інформацією Koi Security, GreedyBear імітує популярні криптогаманці, зокрема MetaMask, TronLink, Exodus і Rabby Wallet, через підроблені розширення. Використовуючи техніку Extension Hollowing, група спершу створює легальні на вигляд розширення, накопичує довіру, а потім «озброює» їх шкідливим кодом.
Окрім Firefox, є ознаки підготовки аналогічних атак і для Chrome. Масштаб операцій перевершив попередню кампанію Foxy Wallet більш ніж удвічі — тепер зафіксовано майже 500 шкідливих Windows–файлів, пов’язаних із крадіжками облікових даних, програмами-вимагачами та троянами.
Додатково група створює фішингові ресурси у вигляді підроблених сторінок продуктів, які рекламують цифрові гаманці, апаратні пристрої або «ремонт» гаманців. Частина сайтів уже активна, інші готуються до старту.
GreedyBear пов’язують з інфраструктурою, що використовує IP-адресу 185.208.156.66, яка виконує роль центрального вузла C2 для збору облікових даних, координації програм-вимагачів та хостингу шахрайських сайтів. Джерела розповсюдження шкідливих файлів — переважно російські ресурси з піратським або «перепакованим» софтом.
Подібні комплексні атаки ускладнюють роботу захисників, адже поєднання різних векторів загроз дає змогу нападникам діяти синхронно у кількох середовищах.
Експерти попереджають, що зростання технічної складності нападів GreedyBear і застосування штучного інтелекту для автоматизації шахрайства вимагають від користувачів та компаній більшої пильності. Захист має містити постійне оновлення ПЗ, багаторівневу автентифікацію та перевірку розширень перед установленням.
