Nội dung Biên tập Đáng tin cậy, được xem xét bởi các chuyên gia hàng đầu trong ngành và các biên tập viên dày dạn kinh nghiệm. Công bố Quảng cáo
Một nhóm tội phạm mạng có tên "GreedyBear" đã bị cáo buộc đánh cắp hơn 1 triệu đô la thông qua những gì các nhà nghiên cứu cho rằng là một trong những hoạt động trộm cắp crypto rộng rãi nhất được chứng kiến trong nhiều tháng.
Đọc thêm: Anh em Winklevoss bơm Bitcoin vào dự án khai thác liên kết với Trump. Các báo cáo từ Koi Security tiết lộ nhóm này đang thực hiện một chiến dịch phối hợp kết hợp các tiện ích mở rộng trình duyệt độc hại, phần mềm độc hại và các trang web lừa đảo — tất cả dưới một mạng lưới.
Tiện ích mở rộng biến thành công cụ đánh cắp ví
Thay vì chỉ tập trung vào một phương pháp, GreedyBear đã kết hợp nhiều phương pháp. Theo nhà nghiên cứu Koi Security Tuval Admoni, nhóm này đã triển khai hơn 650 công cụ độc hại trong đợt tấn công mới nhất của mình.
Điều này đánh dấu sự gia tăng mạnh mẽ từ hoạt động "Foxy Wallet" trước đó vào tháng Bảy, liên quan đến 40 tiện ích mở rộng Firefox.
Chiến thuật của nhóm, được gọi là "Extension Hollowing," bắt đầu bằng việc phát hành các tiện ích mở rộng Firefox trông sạch sẽ như trình tải video hoặc công cụ làm sạch liên kết.
Những tiện ích mở rộng này, được phát hành dưới các tài khoản nhà xuất bản mới, thu thập các đánh giá tích cực giả để tạo vẻ đáng tin cậy. Sau đó, chúng được thay thế bằng các phiên bản độc hại mạo danh các ví như MetaMask, TronLink, Exodus và Rabby Wallet.
Khi đã được cài đặt, chúng lấy thông tin xác thực từ các trường nhập và gửi chúng đến các máy chủ điều khiển của GreedyBear.
Malware Ẩn Giấu Trong Phần Mềm Được Crack
Các nhà điều tra cũng đã liên kết gần 500 tập tin Windows độc hại với cùng một nhóm. Nhiều trong số này thuộc về các gia đình phần mềm độc hại nổi tiếng như LummaStealer, ransomware tương tự như Luca Stealer, và trojan hoạt động như bộ tải cho các chương trình độc hại khác.
Phân phối thường diễn ra qua các trang web bằng tiếng Nga mà lưu trữ phần mềm bị crack hoặc "đóng gói lại". Nhắm vào những người tìm kiếm phần mềm miễn phí, những kẻ tấn công vượt xa hơn cả cộng đồng tiền điện tử.
Phần mềm độc hại mô-đun cũng được Koi Security phát hiện, trong đó các nhà điều hành có thể thêm hoặc hoán đổi các chức năng mà không cần triển khai hoàn toàn các tệp mới.
Tổng vốn hóa thị trường tiền điện tử hiện tại là $3.9 trillion. Biểu đồ: TradingView### Dịch vụ Crypto giả mạo được tạo ra để đánh cắp dữ liệu
Dựa trên các báo cáo, ngoài các cuộc tấn công qua trình duyệt và phần mềm độc hại, GreedyBear đã thiết lập các trang web giả mạo mà tự xưng là giải pháp tiền điện tử chính hãng.
Một số trong số này được cho là cung cấp ví phần cứng, và những cái khác là dịch vụ sửa chữa ví giả cho các thiết bị như Trezor.
Đọc thêm: Lệnh hành pháp của Trump có thể là yếu tố thúc đẩy lớn tiếp theo cho Bitcoin: CEO. Cũng có các ứng dụng ví giả với thiết kế đẹp mắt để lừa người dùng nhập các cụm từ phục hồi, khóa riêng và thông tin thanh toán.
Khác với các trang lừa đảo tiêu chuẩn sao chép trang đăng nhập sàn giao dịch, những trang lừa đảo này trông giống như các cổng thông tin sản phẩm hoặc hỗ trợ.
Các báo cáo cho biết một số trong số họ vẫn đang hoạt động và vẫn đang thu thập dữ liệu nhạy cảm, trong khi những người khác đang trong trạng thái chờ để sử dụng trong tương lai.
Các nhà điều tra phát hiện rằng gần như tất cả các miền liên kết với các hoạt động này đều dẫn trở lại một địa chỉ IP duy nhất — 185.208.156.66. Máy chủ này hoạt động như trung tâm của chiến dịch, xử lý thông tin đăng nhập bị đánh cắp, phối hợp hoạt động ransomware và lưu trữ các trang web lừa đảo.
Hình ảnh nổi bật từ Unsplash, biểu đồ từ TradingView
Quy trình biên tập của bitcoinist tập trung vào việc cung cấp nội dung được nghiên cứu kỹ lưỡng, chính xác và không thiên lệch. Chúng tôi tuân thủ các tiêu chuẩn nguồn gốc nghiêm ngặt, và mỗi trang đều trải qua quá trình xem xét kỹ lưỡng bởi đội ngũ chuyên gia công nghệ hàng đầu và các biên tập viên dày dạn kinh nghiệm. Quy trình này đảm bảo tính toàn vẹn, sự liên quan và giá trị của nội dung đối với độc giả của chúng tôi.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Những kẻ trộm tiền điện tử được gọi là ‘GreedyBear’ thực hiện lừa đảo quy mô công nghiệp - Chi tiết
Đọc thêm: Anh em Winklevoss bơm Bitcoin vào dự án khai thác liên kết với Trump. Các báo cáo từ Koi Security tiết lộ nhóm này đang thực hiện một chiến dịch phối hợp kết hợp các tiện ích mở rộng trình duyệt độc hại, phần mềm độc hại và các trang web lừa đảo — tất cả dưới một mạng lưới.
Tiện ích mở rộng biến thành công cụ đánh cắp ví
Thay vì chỉ tập trung vào một phương pháp, GreedyBear đã kết hợp nhiều phương pháp. Theo nhà nghiên cứu Koi Security Tuval Admoni, nhóm này đã triển khai hơn 650 công cụ độc hại trong đợt tấn công mới nhất của mình.
Điều này đánh dấu sự gia tăng mạnh mẽ từ hoạt động "Foxy Wallet" trước đó vào tháng Bảy, liên quan đến 40 tiện ích mở rộng Firefox.
Chiến thuật của nhóm, được gọi là "Extension Hollowing," bắt đầu bằng việc phát hành các tiện ích mở rộng Firefox trông sạch sẽ như trình tải video hoặc công cụ làm sạch liên kết.
Những tiện ích mở rộng này, được phát hành dưới các tài khoản nhà xuất bản mới, thu thập các đánh giá tích cực giả để tạo vẻ đáng tin cậy. Sau đó, chúng được thay thế bằng các phiên bản độc hại mạo danh các ví như MetaMask, TronLink, Exodus và Rabby Wallet.
Khi đã được cài đặt, chúng lấy thông tin xác thực từ các trường nhập và gửi chúng đến các máy chủ điều khiển của GreedyBear.
Malware Ẩn Giấu Trong Phần Mềm Được Crack
Các nhà điều tra cũng đã liên kết gần 500 tập tin Windows độc hại với cùng một nhóm. Nhiều trong số này thuộc về các gia đình phần mềm độc hại nổi tiếng như LummaStealer, ransomware tương tự như Luca Stealer, và trojan hoạt động như bộ tải cho các chương trình độc hại khác.
Phân phối thường diễn ra qua các trang web bằng tiếng Nga mà lưu trữ phần mềm bị crack hoặc "đóng gói lại". Nhắm vào những người tìm kiếm phần mềm miễn phí, những kẻ tấn công vượt xa hơn cả cộng đồng tiền điện tử.
Phần mềm độc hại mô-đun cũng được Koi Security phát hiện, trong đó các nhà điều hành có thể thêm hoặc hoán đổi các chức năng mà không cần triển khai hoàn toàn các tệp mới.
Dựa trên các báo cáo, ngoài các cuộc tấn công qua trình duyệt và phần mềm độc hại, GreedyBear đã thiết lập các trang web giả mạo mà tự xưng là giải pháp tiền điện tử chính hãng.
Một số trong số này được cho là cung cấp ví phần cứng, và những cái khác là dịch vụ sửa chữa ví giả cho các thiết bị như Trezor.
Đọc thêm: Lệnh hành pháp của Trump có thể là yếu tố thúc đẩy lớn tiếp theo cho Bitcoin: CEO. Cũng có các ứng dụng ví giả với thiết kế đẹp mắt để lừa người dùng nhập các cụm từ phục hồi, khóa riêng và thông tin thanh toán.
Khác với các trang lừa đảo tiêu chuẩn sao chép trang đăng nhập sàn giao dịch, những trang lừa đảo này trông giống như các cổng thông tin sản phẩm hoặc hỗ trợ.
Các báo cáo cho biết một số trong số họ vẫn đang hoạt động và vẫn đang thu thập dữ liệu nhạy cảm, trong khi những người khác đang trong trạng thái chờ để sử dụng trong tương lai.
Các nhà điều tra phát hiện rằng gần như tất cả các miền liên kết với các hoạt động này đều dẫn trở lại một địa chỉ IP duy nhất — 185.208.156.66. Máy chủ này hoạt động như trung tâm của chiến dịch, xử lý thông tin đăng nhập bị đánh cắp, phối hợp hoạt động ransomware và lưu trữ các trang web lừa đảo.
Hình ảnh nổi bật từ Unsplash, biểu đồ từ TradingView