Una campaña recién descubierta doblada Ceñido ha estudioso más de 150 extensiones maliciosas al mercado de Firefox que están diseñados para hacerse acontecer por billeteras de criptomonedas populares y robar más de $ 1 millón en activos digitales.
El navegador publicado Add-on Masquerade Asmetamask, Tronlink, Exodus y Rabbuy Wallet, Mosts, Koi Security Research Tuve Admoni dijo.
Lo que hace que la actividad sea sobresaliente es el uso del actor de amenaza de una técnica que la compañía de seguridad cibernética llamó Extension Hollowing para evitar salvaguardas establecidas por Mozilla y explotar el User Trust. Vale la pena señalar que algunos aspectos de la campaña fueron documentados por primera vez por el investigador de seguridad Lukasz Olejnik la semana pasada.
“En oportunidad de tratar de escabullir extensiones maliciosas más allá de las revisiones iniciales, construyen primero las carteras de extensión legítimas y luego las arman más tarde cuando nadie está mirando”, dijo Admoni en un noticia publicado el jueves.
Para obtener esto, los atacantes primero crean una cuenta de editor en el mercado, cargan extensiones inocuas sin funcionalidad actual para evitar revisiones iniciales, difundir revisiones positivas falsas para crear una ilusión de credibilidad y modificar sus entornoidades con capacidades maliciosas.
Las extensiones falsas están diseñadas para capturar credenciales de billetera ingresadas por usuarios desprevenidos y exfiltrarse a un servidor controlado por el atacante. Incluso reúne las direcciones IP de las víctimas para propósitos de seguimiento probables.
Se evalúa que la campaña es una extensión de una iteración preliminar señal billetera Foxy que involucró a los actores de amenaza que publicaban no menos de 40 extensiones de navegador maliciosas para Mozilla Firefox con objetivos similares en mente. El postrero aumento en el número de extensiones indica la creciente escalera de la operación.
Los ataques de drenaje de criptomonedas de billetera falsa se incrementan en campañas que distribuyen ejecutables maliciosos a través de varios sitios rusos que venden software agrietado y pirateado, lo que lleva al despliegue de robos de información e incluso ransomware.
Los actores de Greedybear igualmente han contrario la creación de sitios de estafa que se plantean como productos y servicios de criptomonedas, como las herramientas de reparación de billeteras, para que posiblemente engañen a los usuarios para separarse de sus credenciales de billetera, o detalles de plazo, lo que resulta en robo de credenciales y fraude financiero.
Koi Security dijo que fue capaz de vincular las tres verticales de ataque con un actor de amenaza única en función del hecho de que los dominios utilizados en estos esfuerzos apuntan a una dirección IP solitaria: 185.208.156 (.) 66, que actúa como un servidor de comando y control (C2) para la colección y despacho de datos.
Hay evidencia que sugiere que los ataques relacionados con la extensión se están ramificando para atacar a otros mercados de navegadores. Esto se zócalo en el descubrimiento de una extensión de Google Chrome señal FileCoin Wallet que ha utilizado el mismo servidor C2 y la razonamiento subyacente para robar credenciales.
Para empeorar las cosas, un disección de los artefactos ha descubierto signos de que pueden acontecer sido creados utilizando herramientas de inteligencia sintético (IA). Esto subraya cómo los actores de amenaza están mal uso de sistemas de IA para permitir ataques a escalera y a velocidad.
“Esta variedad indica que el agrupación no está implementando un solo conjunto de herramientas, sino más admisiblemente operando una cartera de distribución de malware amplia, capaz de cambiar las tácticas según sea necesario”, dijo Admoni.
“Desde entonces, la campaña ha evolucionado la diferencia ahora es la escalera y el trascendencia: esto se ha convertido en una campaña de credenciales y robo de activos multiplataforma, respaldada por cientos de muestras de malware e infraestructura de estafas”.
Ethereum Drainers se posa como bots comerciales para robar criptografía
La divulgación se produce cuando Sentinelone marcó una estafa de criptomonedas generalizada y continua que implica distribuir un anuencia inteligente zorro disfrazado de botes de negociación para drenar las billeteras de los usuarios. Se estima que el esquema fraudulento de drenaje de Ethereum, activo desde principios de 2024, ya ha anotado a los actores de amenaza de más de $ 900,000 en ganancias robadas.
“Las estafas se comercializan a través de videos de YouTube que explican la supuesta naturaleza del bot de comercio criptográfico y explican cómo implementar un anuencia inteligente en la plataforma de compilador de solidez de remix, un entorno de crecimiento integrado (IDE) basado en la web para proyectos Web3”, dijo el investigador Alex Delamotte. “Las descripciones de video comparten un enlace a un sitio forastero que aloja el código de anuencia inteligente armado”.
Se dice que los videos están generados por IA y se publican a partir de cuentas de momento vanguardia que publican las noticiario de criptomonedas de otras fuentes como listas de reproducción en un esfuerzo por ocasionar legalidad. Los videos igualmente presentan comentarios abrumadoramente positivos, lo que sugiere que los actores de amenaza están curando activamente las secciones de comentarios y eliminando cualquier feedback negativa.
Una de las cuentas de YouTube que empujó la estafa se creó en octubre de 2022. Esto indica que los estafadores aumentaron de forma lenta y constante la credibilidad de la cuenta con el tiempo o pueden haberlo comprado en un servicio que vende canales de YouTube envejecidos de Telegram y sitios dedicados como ACCS-Market y perfiles de momento vanguardia.
El ataque pasa a la próximo período cuando la víctima despliega el anuencia inteligente, luego de lo cual se les indica a las víctimas que envíen a ETH al nuevo anuencia, lo que hace que los fondos se enruten a una billetera controlada por actores de amenaza de amenaza.
“La combinación de contenido generado por IA y cuentas de YouTube envejecidas disponibles para la liquidación significa que cualquier actor de posibles modestos puede obtener una cuenta de YouTube que el cálculo considera ‘establecido’ y armado la cuenta para difundir contenido personalizado bajo un falsificado pretexto de legalidad”, dijo Delamotte.
