Una campaña maliciosa ha obtenido más de un millón de dólares en criptomonedas robadas utilizando una combinación de tres tipos de ataques a través de cientos de extensiones de navegador, sitios web y malware, según la empresa de ciberseguridad Koi Security.
Tuval Admoni, investigador de Koi Security, afirmó el jueves que el grupo malicioso, al que la empresa ha bautizado como "GreedyBear", ha "redefinido el robo de criptomonedas a escala industrial".
"La mayoría de los grupos eligen un camino: quizá se dedican a las extensiones de navegador, o se centran en el ransomware, o gestionan sitios web de phishing fraudulentos. GreedyBear dijo: "¿Por qué no los tres?". Y funcionó. De forma espectacular", afirmó Admoni.
Los tipos de ataques llevados a cabo por GreedyBear ya se han utilizado anteriormente, pero el informe destaca que los ciberdelincuentes están desplegando ahora una serie de estafas complejas dirigidas a los usuarios de criptomonedas, lo que, según Admoni, demuestra que los estafadores han dejado de "pensar en pequeño".
Más de 150 extensiones de navegador falsas para criptomonedas
Se ha robado más de un millón de dólares con más de 650 herramientas maliciosas dirigidas específicamente a los usuarios de monederos de criptomonedas, según Admoni.
El grupo ha publicado más de 150 extensiones maliciosas para el navegador Firefox, cada una de ellas diseñada para suplantar monederos de criptomonedas populares como MetaMask, TronLink, Exodus y Rabby Wallet.
Los actores maliciosos utilizan una técnica denominada "Extension Hollowing", que consiste en crear primero una extensión legítima para eludir los controles de los mercados y, posteriormente, convertirla en maliciosa.
Admoni explicó que las extensiones maliciosas capturan directamente las credenciales de los monederos desde los campos de entrada de los usuarios dentro de interfaces de monederos falsos.
“Este enfoque permite a GreedyBear eludir la seguridad del mercado al parecer legítimo durante el proceso de revisión inicial y luego convertir en armas extensiones establecidas que ya cuentan con la confianza de los usuarios y valoraciones positivas.”
Deddy Lavid, CEO de la empresa de ciberseguridad Cyvers, declaró a Cointelegraph que la campaña GreedyBear "muestra cómo los ciberdelincuentes están convirtiendo en armas la confianza que los usuarios depositan en las tiendas de extensiones de navegador. Clonando plugins populares de monederos, inflando las reseñas y luego sustituyendo silenciosamente el malware que roba credenciales".
A principios de julio, Koi Security identificó 40 extensiones maliciosas de Firefox, sospechando que detrás de lo que denominó la campaña "Foxy Wallet" se encontraban actores maliciosos rusos.
Malware con temática de criptomonedas
La segunda división de los ataques del grupo se centra en el malware con temática de criptomonedas, del que Koi Security descubrió casi 500 muestras.
Los ladrones de credenciales como LummaStealer se centran específicamente en la información de los criptomonederos, mientras que las variantes de ransomware como Luca Stealer están diseñadas para exigir pagos en criptomonedas.
La mayor parte del malware se distribuye a través de sitios web rusos que ofrecen software hackeado o crackeado, según Admoni.
Una red de sitios web fraudulentos
El tercer vector de ataque de la trifecta es una red de sitios web falsos que se hacen pasar por productos y servicios relacionados con criptomonedas.
"No se trata de las típicas páginas de phishing que imitan los portales de inicio de sesión, sino que aparecen como páginas de destino de productos falsos y elegantes que anuncian monederos digitales, dispositivos de hardware o servicios de reparación de monederos”, dijo Admoni.
Dijo que un servidor actúa como centro neurálgico para el comando y control, la recopilación de credenciales, la coordinación del ransomware y los sitios web fraudulentos, "lo que permite a los atacantes optimizar las operaciones a través de múltiples canales".
La campaña también muestra signos de código generado por IA, lo que permite una rápida escalada y diversificación de los ataques dirigidos a las criptomonedas, lo que representa una nueva evolución en los delitos cibernéticos centrados en las criptomonedas.
"No se trata de una moda pasajera, sino de la nueva normalidad", advirtió Admoni.
"Estos ataques se aprovechan de las expectativas de los usuarios y eluden las defensas estáticas inyectando lógica maliciosa directamente en las interfaces de usuario de los monederos", afirmó Lavid, antes de añadir: "Esto subraya la necesidad de un control más estricto por parte de los proveedores de navegadores, la transparencia de los desarrolladores y la vigilancia de los usuarios".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.