Миллион долларов украден в результате «индустриального» крипто-взлома с использованием кода, сгенерированного искусственным интеллектом.

Что происходит, когда киберпреступники перестают мыслить масштабами небольших атак и начинают действовать как крупная корпорация из списка Fortune 500? Ответ – группа GreedyBear, которая только что переопределила понятие промышленного крипто-воровства.

150 модифицированных расширений Firefox (выдающих себя за популярные крипто-кошельки, такие как MetaMask и TronLink), около 500 вредоносных исполняемых файлов, десятки фишинговых веб-сайтов и единая скоординированная инфраструктура для атак. По сообщениям пользователей, украдено более 1 миллиона долларов.

Злоумышленники загружают 5-7 внешне безобидных расширений, таких как очистители ссылок, загрузчики с YouTube и другие распространенные утилиты, которые на самом деле не выполняют никакой функции. Затем они публикуют десятки поддельных положительных отзывов об этих общих расширениях, чтобы завоевать доверие. После установления доверия они "выпотрошат" расширения, изменяя их названия, значки и внедряя вредоносный код, при этом сохраняя историю положительных отзывов. Такой подход позволяет GreedyBear обходить систему безопасности торговых площадок, поскольку расширения кажутся легитимными на этапе первоначальной проверки, а затем злоумышленники используют уже установленные расширения с доверием и положительными оценками. Модифицированные расширения захватывают учетные данные кошельков непосредственно из полей ввода данных пользователя внутри интерфейса самого расширения и отправляют их на удаленный сервер, контролируемый группой.

Помимо вредоносного ПО и расширений, эта группа также создала сеть мошеннических веб-сайтов, выдающих себя за крипто-продукты и услуги. Это не типичные фишинговые страницы, имитирующие порталы входа, а скорее привлекательные поддельные целевые страницы, рекламирующие цифровые кошельки, аппаратные устройства или услуги по восстановлению кошельков. Хотя дизайн этих сайтов различается, их цель, по-видимому, одна и та же: обмануть пользователей, заставив их ввести личную информацию, учетные данные кошелька или платежные данные, что может привести к краже учетных данных, мошенничеству с кредитными картами или и тому, и другому. Некоторые из этих доменов активны и полностью функциональны, в то время как другие могут быть подготовлены для будущей активации или целевых мошеннических схем.

Примечательным аспектом этой кампании является консолидация инфраструктуры: почти все домены – как для расширений, так и для исполняемых файлов и фишинговых сайтов – разрешаются по одному IP-адресу: 185.208.156.66. Этот сервер действует как центральный узел для управления и контроля, сбора учетных данных, координации программ-вымогателей и мошеннических веб-сайтов, что позволяет злоумышленникам оптимизировать операции по нескольким каналам. Анализ кода этой кампании показывает четкие признаки артефактов, сгенерированных искусственным интеллектом. Это делает масштабирование операций, диверсификацию полезной нагрузки и обход обнаружения более быстрыми и простыми, чем когда-либо прежде.

Это не мимолетная тенденция – это новая норма.

Исследователи полагают, что группа, вероятно, тестирует или готовится к параллельным операциям на других торговых площадках.