Una campaña recién descubierta doblada Ceñido ha aprovechado más de 150 extensiones maliciosas al mercado de Firefox que están diseñados para hacerse pasar por billeteras de criptomonedas populares y robar más de $ 1 millón en activos digitales.
El navegador publicado Add-on Masquerade Asmetamask, Tronlink, Exodus y Rabbuy Wallet, Mosts, Koi Security Research Tuve Admoni dijo.
Lo que hace que la actividad sea notable es el uso del actor de amenaza de una técnica que la compañía de seguridad cibernética llamó Extension Hollowing para evitar salvaguardas establecidas por Mozilla y explotar el User Trust. Vale la pena señalar que algunos aspectos de la campaña fueron documentados por primera vez por el investigador de seguridad Lukasz Olejnik la semana pasada.
«En lugar de tratar de escabullir extensiones maliciosas más allá de las revisiones iniciales, construyen primero las carteras de extensión legítimas y luego las arman más tarde cuando nadie está mirando», dijo Admoni en un informe publicado el jueves.
Para lograr esto, los atacantes primero crean una cuenta de editor en el mercado, cargan extensiones inocuas sin funcionalidad real para evitar revisiones iniciales, publicar revisiones positivas falsas para crear una ilusión de credibilidad y modificar sus entornoidades con capacidades maliciosas.
Las extensiones falsas están diseñadas para capturar credenciales de billetera ingresadas por usuarios desprevenidos y exfiltrarse a un servidor controlado por el atacante. También reúne las direcciones IP de las víctimas para propósitos de seguimiento probables.
Se evalúa que la campaña es una extensión de una iteración anterior llamada billetera Foxy que involucró a los actores de amenaza que publicaban no menos de 40 extensiones de navegador maliciosas para Mozilla Firefox con objetivos similares en mente. El último aumento en el número de extensiones indica la creciente escala de la operación.
Los ataques de drenaje de criptomonedas de billetera falsa se incrementan en campañas que distribuyen ejecutables maliciosos a través de varios sitios rusos que venden software agrietado y pirateado, lo que lleva al despliegue de robos de información e incluso ransomware.
Los actores de Greedybear también han encontrado la creación de sitios de estafa que se plantean como productos y servicios de criptomonedas, como las herramientas de reparación de billeteras, para que posiblemente engañen a los usuarios para separarse de sus credenciales de billetera, o detalles de pago, lo que resulta en robo de credenciales y fraude financiero.
Koi Security dijo que fue capaz de vincular las tres verticales de ataque con un actor de amenaza única en función del hecho de que los dominios utilizados en estos esfuerzos apuntan a una dirección IP solitaria: 185.208.156 (.) 66, que actúa como un servidor de comando y control (C2) para la recopilación y administración de datos.
Hay evidencia que sugiere que los ataques relacionados con la extensión se están ramificando para atacar a otros mercados de navegadores. Esto se basa en el descubrimiento de una extensión de Google Chrome llamada FileCoin Wallet que ha utilizado el mismo servidor C2 y la lógica subyacente para robar credenciales.
Para empeorar las cosas, un análisis de los artefactos ha descubierto signos de que pueden haber sido creados utilizando herramientas de inteligencia artificial (IA). Esto subraya cómo los actores de amenaza están mal uso de sistemas de IA para permitir ataques a escala y a velocidad.
«Esta variedad indica que el grupo no está implementando un solo conjunto de herramientas, sino más bien operando una cartera de distribución de malware amplia, capaz de cambiar las tácticas según sea necesario», dijo Admoni.
«Desde entonces, la campaña ha evolucionado la diferencia ahora es la escala y el alcance: esto se ha convertido en una campaña de credenciales y robo de activos multiplataforma, respaldada por cientos de muestras de malware e infraestructura de estafas».
Ethereum Drainers se posa como bots comerciales para robar criptografía
La divulgación se produce cuando Sentinelone marcó una estafa de criptomonedas generalizada y continua que implica distribuir un contrato inteligente malicioso disfrazado de botes de negociación para drenar las billeteras de los usuarios. Se estima que el esquema fraudulento de drenaje de Ethereum, activo desde principios de 2024, ya ha anotado a los actores de amenaza de más de $ 900,000 en ganancias robadas.
«Las estafas se comercializan a través de videos de YouTube que explican la supuesta naturaleza del bot de comercio criptográfico y explican cómo implementar un contrato inteligente en la plataforma de compilador de solidez de remix, un entorno de desarrollo integrado (IDE) basado en la web para proyectos Web3», dijo el investigador Alex Delamotte. «Las descripciones de video comparten un enlace a un sitio externo que aloja el código de contrato inteligente armado».
Se dice que los videos están generados por IA y se publican a partir de cuentas de edad avanzada que publican las noticias de criptomonedas de otras fuentes como listas de reproducción en un esfuerzo por generar legitimidad. Los videos también presentan comentarios abrumadoramente positivos, lo que sugiere que los actores de amenaza están curando activamente las secciones de comentarios y eliminando cualquier retroalimentación negativa.
Una de las cuentas de YouTube que empujó la estafa se creó en octubre de 2022. Esto indica que los estafadores aumentaron de manera lenta y constante la credibilidad de la cuenta con el tiempo o pueden haberlo comprado en un servicio que vende canales de YouTube envejecidos de Telegram y sitios dedicados como ACCS-Market y perfiles de edad avanzada.
El ataque pasa a la siguiente fase cuando la víctima despliega el contrato inteligente, después de lo cual se les indica a las víctimas que envíen a ETH al nuevo contrato, lo que hace que los fondos se enruten a una billetera controlada por el actor de amenaza ofuscada.
«La combinación de contenido generado por IA y cuentas de YouTube envejecidas disponibles para la venta significa que cualquier actor de recursos modestos puede obtener una cuenta de YouTube que el algoritmo considera ‘establecido’ y armado la cuenta para publicar contenido personalizado bajo un falso pretexto de legitimidad», dijo Delamotte.