Mais de 1 milhão de dólares comprometidos: a sofisticada campanha de ataque ao navegador do GreedyBear

failed_dev_successful_ape · 2025-12-26T20:33:11+00:00

O grupo de hackers russo GreedyBear executou um grande roubo de criptomoedas, ultrapassando $1 milhões, usando extensões modificadas do Firefox, executáveis maliciosos e phishing. A sua estratégia envolve explorar vulnerabilidades na loja de aplicações e aumentar a credibilidade com avaliações falsas.

failed_dev_successful_ape

2025-12-26 20:33:11

Geração de resumo em curso

O grupo hacker russo GreedyBear conseguiu orquestrar uma operação massiva de roubo de criptomoedas nas últimas cinco semanas, com perdas superiores a 1 milhão de dólares, de acordo com um relatório de segurança recente da Koi Security. Os cibercriminosos implantaram um arsenal de 150 extensões modificadas do Firefox, aproximadamente 500 executáveis maliciosos para Windows e dezenas de páginas de phishing para executar sua estratégia de ataque.

Exploração de Extensões de Navegador: O Principal Motor de Receita

A campanha de extensões do Firefox provou ser o método mais lucrativo do grupo, gerando a maior parte dos 1 milhão de dólares em fundos roubados. A metodologia de ataque baseia-se numa técnica enganosa chamada Extension Hollowing, que contorna os protocolos de segurança das lojas de aplicações. Os hackers começam carregando versões de wallets de criptomoedas populares — incluindo MetaMask, Exodus, Rabby Wallet e TronLink — que parecem legítimas, para canais de distribuição. Uma vez que os utilizadores descarregam estas extensões, atualizações subsequentes injetam código malicioso nas aplicações.

Para aumentar a credibilidade, o grupo inflaciona artificialmente as classificações dos utilizadores através de avaliações positivas falsas, criando uma falsa sensação de legitimidade. Esta camada de engenharia social aumenta significativamente as taxas de download entre utilizadores de criptomoedas desavisados. Uma vez instaladas, as extensões comprometidas funcionam como ferramentas de recolha de credenciais, capturando silenciosamente chaves privadas de wallets e credenciais de acesso. Estas credenciais roubadas são então utilizadas para esvaziar as holdings de criptomoedas das vítimas.

Infraestrutura de Ataque Diversificada

Para além das ameaças baseadas no navegador, o GreedyBear opera uma corrente de ataque paralela usando quase 500 executáveis maliciosos para Windows. Estes ficheiros são distribuídos estrategicamente através de repositórios de software russos que hospedam aplicações pirateadas ou modificadas. Os executáveis cumprem múltiplos propósitos: alguns funcionam como ladrões de credenciais, visando informações de contas armazenadas, outros implantam ransomware para encriptar dados das vítimas, e vários operam como trojans destinados a estabelecer acesso persistente ao sistema.

Esta abordagem em múltiplas camadas demonstra um planeamento operacional sofisticado, permitindo ao grupo manter múltiplos vetores de infeção e adaptar-se às contramedidas de segurança empregues por utilizadores e plataformas.

Ver original

Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.