Кража криптовалюты на 1 миллион долларов GreedyBear с помощью поддельных расширений кошельков

За последние пять недель российская хакерская группа GreedyBear провела масштабную кампанию по краже криптовалюты, похитив более 1 миллиона долларов в цифровых активах. Злоумышленники развернули 150 вредоносных расширений для Firefox и почти 500 заражённых вредоносным ПО исполняемых файлов Windows для фишинга учетных данных кошельков. Используя тактику «Extension Hollowing», они заменяли легитимные дополнения на поддельные плагины MetaMask, Exodus, Rabby Wallet и TronLink для сбора приватных ключей. Жертвы, установившие эти фишинговые расширения для браузера, невольно передавали свои ключи, что позволяло напрямую переводить средства. Дополнительное вредоносное ПО — включая LummaStealer, ransomware и трояны — распространялось через сайты с пиратским программным обеспечением. Почти все вредоносные домены указывали на центральный IP-адрес (185.208.156.66), который служил узлом командования и управления украденными данными и нагрузками. Технический директор Koi Security Идан Дардикман подтвердил, что расширения для Firefox были самым прибыльным вектором атаки в кампании. Эта кража криптовалюты подчеркивает постоянные риски фишинга и необходимость для трейдеров проверять источники расширений, регулярно аудировать установленные плагины и загружать их только с официальных каналов для защиты безопасности кошельков.