Киберпреступная группа GreedyBear, связанная с Россией, провела масштабную операцию по хищению криптовалют на сумму свыше $1 млн за последние пять недель. Как сообщают эксперты Koi Security, злоумышленники создали 150 поддельных расширений для браузера Firefox, имитирующих популярные криптокошельки MetaMask, Exodus, Rabby Wallet и TronLink.
Метод атаки включал технику «Extension Hollowing»: изначально в маркетплейс Firefox загружались легитимные версии расширений, которые позже заменялись вредоносным кодом. Дополнительно группа размещала фальшивые положительные отзывы для создания видимости надёжности. После установки расширения похищали seed-фразы и приватные ключи пользователей, позволяя выводить средства.
Помимо этого, GreedyBear распространяла около 500 вредоносных исполняемых файлов через российские сайты с пиратским ПО и создала десятки фишинговых платформ, маскирующихся под сервисы для восстановления кошельков. Идан Дардикман, технический директор Koi Security, отметил: «Эта кампания переопределила индустриальный масштаб краж в криптосфере». Все атаки координировались через единый IP-адрес (185.208.156.66), что указывает на централизованное управление группой.
Эксперты подчеркнули необходимость усиления мер безопасности: использование аппаратных кошельков, установка ПО исключительно с официальных сайтов и отказ от пиратских ресурсов. Активность GreedyBear демонстрирует растущие риски для децентрализованных финансовых экосистем.