Корпорация мошенников: как построена глобальная сеть вредоносных приложений

Мошенники используют все возможности для получения максимальной прибыли. Они объединяются в команды, делегируют полномочия и создают целые сети вредоносных проектов. GetBlock AML Research раскрывает структуру одной из крупнейших мошеннических сетей, которая использовала для кражи криптовалют вредоносные программы, расширения для браузеров и поддельные веб-сайты.

Логово медведя

Недавно обнаруженная группировка мошенников была названа киберспециалистами GreedyBear. Она привлекла к себе повышенное внимание тем, что воровала цифровые активы в промышленных масштабах.

За небольшой временной период группа GreedyBear создала более 500 вредоносных .exe файлов (вирусов), более 150 фейковых расширений для браузеров и десятки фишинговых сайтов, которые якобы предоставляли услуги, связанные с криптовалютами. По предварительным оценкам, мошенникам уже удалось завладеть активами на $1 млн.

Фейковые криптокошельки

GreedyBear создала более 150 вредоносных расширений для браузера FireFox, которые имитировали популярные криптовалютные кошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet. Мошенники придумали стратегию, которая помогла им успешно обойти аудит расширений.

Страница вредоносного криптокошелька

Злоумышленники создавали новые учетные записи разработчиков в маркете приложений FireFox. Затем публиковали 5-6 абсолютно легальных приложений, например, расширения для загрузки видео с YouTube, или расширение для сокращения ссылок. После этого на эти расширения накручиваются сотни положительных отзывов от пользователей. И только после этого мошенники публикуют фейковые криптокошельки.

Фейковые программы

Также в GreedyBear занимались распространением троянов под видом программного обеспечения. Группировка создала более 500 вредоносных исполняемых файлов, которые встраивались во взломанные программы, распространяемые через торрент-трекеры.

Вредоносная раздача на одном из торрент-трекеров

Фейковые сервисы

GreedyBear работают по еще одному направлению — кража криптовалюты через поддельные криптовалютные сервисы. Группировка создает сайт, который имитируют различные услуги, связанные с криптовалютами. Например, один из таких мошеннических сайтов продвигал услугу по починке сломанных криптокошельков Trezor.

Мошеннический сайт по починке кошельков Trezor

Вредоносные сайты, помимо кражи криптовалюты, также использовались для сбора личных и платежных данных о потенциальных жертвах.

Что их объединяет

Все вышеупомянутые проекты были организованы при помощи одной инфраструктуры. Для управления троянами, вредоносными расширениями в FireFox и поддельными сайтами был использован один сервер — 185.208.156.66.

Граф связей сервера со всеми обнаруженными вредоносными элементами

Один сервер контролировал все вредоносное программное обеспечение, а также собирал данные о жертвах и потенциальных жертвах.