Una campaña recién descubierta doblada Ceñido ha utilizado más de 150 extensiones maliciosas al mercado de Firefox que están diseñados para hacerse suceder por billeteras de criptomonedas populares y robar más de $ 1 millón en activos digitales.
El navegador publicado Add-on Masquerade Asmetamask, Tronlink, Exodus y Rabbuy Wallet, Mosts, Koi Security Research Tuve Admoni dijo.
Lo que hace que la actividad sea importante es el uso del actor de amenaza de una técnica que la compañía de seguridad cibernética llamó Extension Hollowing para evitar salvaguardas establecidas por Mozilla y explotar el User Trust. Vale la pena señalar que algunos aspectos de la campaña fueron documentados por primera vez por el investigador de seguridad Lukasz Olejnik la semana pasada.
«En oportunidad de tratar de escabullir extensiones maliciosas más allá de las revisiones iniciales, construyen primero las carteras de extensión legítimas y luego las arman más tarde cuando nadie está mirando», dijo Admoni en un noticia publicado el jueves.
Para obtener esto, los atacantes primero crean una cuenta de editor en el mercado, cargan extensiones inocuas sin funcionalidad existente para evitar revisiones iniciales, imprimir revisiones positivas falsas para crear una ilusión de credibilidad y modificar sus entornoidades con capacidades maliciosas.
Las extensiones falsas están diseñadas para capturar credenciales de billetera ingresadas por usuarios desprevenidos y exfiltrarse a un servidor controlado por el atacante. Todavía reúne las direcciones IP de las víctimas para propósitos de seguimiento probables.
Se evalúa que la campaña es una extensión de una iteración susodicho convocatoria billetera Foxy que involucró a los actores de amenaza que publicaban no menos de 40 extensiones de navegador maliciosas para Mozilla Firefox con objetivos similares en mente. El posterior aumento en el número de extensiones indica la creciente escalera de la operación.
Los ataques de drenaje de criptomonedas de billetera falsa se incrementan en campañas que distribuyen ejecutables maliciosos a través de varios sitios rusos que venden software agrietado y pirateado, lo que lleva al despliegue de robos de información e incluso ransomware.
Los actores de Greedybear incluso han antagónico la creación de sitios de estafa que se plantean como productos y servicios de criptomonedas, como las herramientas de reparación de billeteras, para que posiblemente engañen a los usuarios para separarse de sus credenciales de billetera, o detalles de suscripción, lo que resulta en robo de credenciales y fraude financiero.
Koi Security dijo que fue capaz de vincular las tres verticales de ataque con un actor de amenaza única en función del hecho de que los dominios utilizados en estos esfuerzos apuntan a una dirección IP solitaria: 185.208.156 (.) 66, que actúa como un servidor de comando y control (C2) para la sumario y despacho de datos.
Hay evidencia que sugiere que los ataques relacionados con la extensión se están ramificando para atacar a otros mercados de navegadores. Esto se plinto en el descubrimiento de una extensión de Google Chrome convocatoria FileCoin Wallet que ha utilizado el mismo servidor C2 y la razonamiento subyacente para robar credenciales.
Para empeorar las cosas, un investigación de los artefactos ha descubierto signos de que pueden sobrevenir sido creados utilizando herramientas de inteligencia fabricado (IA). Esto subraya cómo los actores de amenaza están mal uso de sistemas de IA para permitir ataques a escalera y a velocidad.
«Esta variedad indica que el montón no está implementando un solo conjunto de herramientas, sino más adecuadamente operando una cartera de distribución de malware amplia, capaz de cambiar las tácticas según sea necesario», dijo Admoni.
«Desde entonces, la campaña ha evolucionado la diferencia ahora es la escalera y el repercusión: esto se ha convertido en una campaña de credenciales y robo de activos multiplataforma, respaldada por cientos de muestras de malware e infraestructura de estafas».
Ethereum Drainers se posa como bots comerciales para robar criptografía
La divulgación se produce cuando Sentinelone marcó una estafa de criptomonedas generalizada y continua que implica distribuir un convenio inteligente taimado disfrazado de botes de negociación para drenar las billeteras de los usuarios. Se estima que el esquema fraudulento de drenaje de Ethereum, activo desde principios de 2024, ya ha anotado a los actores de amenaza de más de $ 900,000 en ganancias robadas.
«Las estafas se comercializan a través de videos de YouTube que explican la supuesta naturaleza del bot de comercio criptográfico y explican cómo implementar un convenio inteligente en la plataforma de compilador de solidez de remix, un entorno de crecimiento integrado (IDE) basado en la web para proyectos Web3», dijo el investigador Alex Delamotte. «Las descripciones de video comparten un enlace a un sitio extranjero que aloja el código de convenio inteligente armado».
Se dice que los videos están generados por IA y se publican a partir de cuentas de etapa vanguardia que publican las telediario de criptomonedas de otras fuentes como listas de reproducción en un esfuerzo por crear licitud. Los videos incluso presentan comentarios abrumadoramente positivos, lo que sugiere que los actores de amenaza están curando activamente las secciones de comentarios y eliminando cualquier feedback negativa.
Una de las cuentas de YouTube que empujó la estafa se creó en octubre de 2022. Esto indica que los estafadores impulsaron lenta y constantemente la credibilidad de la cuenta con el tiempo o pueden haberlo comprado en un servicio que vende canales de YouTube envejecidos de Telegram y sitios dedicados como ACCS-Market y perfiles de etapa vanguardia.
El ataque pasa a la próximo período cuando la víctima despliega el convenio inteligente, luego de lo cual se les indica a las víctimas que envíen a ETH al nuevo convenio, lo que hace que los fondos se enruten a una billetera controlada por el actor de amenaza ofuscada.
«La combinación de contenido generado por IA y cuentas de YouTube envejecidas disponibles para la liquidación significa que cualquier actor de medios modestos puede obtener una cuenta de YouTube que el operación considera ‘establecido’ y armado la cuenta para imprimir contenido personalizado bajo un impostor pretexto de licitud», dijo Delamotte.
