Taigi, paaiškėja, kad ši įsilaužėlių grupė, vadinama „GreedyBear“, atsitraukė nuo gana beprotiško kriptovaliutos-daugiau nei 1 mln.
Štai ką jie padarė: jie pirmiausia įkėlė nekenksmingus įrankius, tokius kaip ekrano įrašymo įrenginiai ar vaizdo įrašų atsisiuntimai. Kai krūva žmonių juos įdiegė, jie tyliai išstūmė atnaujinimus, kurie galėtų patraukti vartotojų piniginės informaciją. Tai kažkas, kas vadinama „Extension Hollowing“, ir, sąžiningai, baisu, koks jis subtilus. Šie plėtiniai netgi turėjo netikras 5 žvaigždučių apžvalgas, kad jos atrodytų teisėtos.
🚨 Susipažinkite
Mes tiesiog atidengėme koordinuotos atakos kampaniją, veikiančią precedento neturinčiu mastu:
– Daugiau nei 150 ginkluotų „Firefox“ pratęsimų
– Vykdomi daugiau nei 500 kenkėjiškų „Windows“ vykdomų „Windows“
– Dešimtys sukčiavimo svetainiųVisi valdomi iš centralizuoto … pic.twitter.com/x7lr3cd968
– „ExpanterTotal“ – kenkėjiškų programų atnaujinimai (@ExtensionTotal) 2025 m. Rugpjūčio 7 d
Kai kenkėjiškas atnaujinimas buvo tiesioginis, jis pradėjo nukreipti „Metamask“, „Tronlink“, „Phantom“ ir kelių kitų piniginės duomenis. Tada pavogti kredencialai buvo išsiųsti tiesiai į savo serverius – kaip tik.
Koi saugumasfirma, kuri visa tai pažvelgė, teigė, kad „GreedyBear“ taip pat naudojo kenkėjiškų programų failus ir suklastotas pinigines susijusias svetaines, kad galėtų sugauti vartotojus. Kai kurios iš šių sukčiavimo svetainių atrodė kaip oficialūs puslapiai, todėl dar sunkiau pasakyti, kas yra tikra.
Be to, atrodo, kad tai, kas yra laukinė, atrodo, kad jų kenkėjiškų programų kodo dalis buvo AI sukuriama, o tai galbūt paaiškina, kaip jie tai atitraukė masteliuose, taip ilgai nepastebėdami. O, ir dabar panašūs dalykai pasirodo ir „Chrome“ ir „Edge“.
Išvada
Šiuo metu net naršyklės plėtiniai nebėra saugūs. Jei įsitraukiate į kriptovaliutą, tiesiog … būkite ypač atsargūs. Visada dar kartą patikrinkite, ką atsisiunčiate, ir jei kažkas jaučiasi, greičiausiai yra.
