O grupo de agentes de ameaças apelidado de GreedyBear orquestrou uma operação em escala industrial que combina extensões de navegador maliciosas, malware executável e infraestrutura de phishing para desviar mais de US$ 1 milhão em criptomoedas das vítimas.
Esse ataque coordenado, descoberto pelos pesquisadores da Koi Security, aproveita impressionantes 650 ferramentas de hackers, incluindo 150 extensões do Firefox armadas e quase 500 executáveis maliciosos do Windows, demonstrando uma sofisticação de nível Fortune 500 que integra diversos vetores de ataque em uma máquina de roubo unificada e eficiente.
Ao contrário dos cibercriminosos tradicionais que se especializam em táticas restritas, como ransomware ou phishing isolado, a abordagem do GreedyBear combina o roubo de credenciais, implantação de ransomwaree sites fraudulentos fraudulentos, todos canalizados por meio de um servidor centralizado de comando e controle (C2) para exfiltração e monetização simplificadas.
Campanha Multivetorial
A principal inovação da campanha está em sua técnica “Extension Hollowing”, um método que contorna os protocolos de segurança do mercado ao enviar inicialmente extensões benignas do Firefox, como desinfetantes de links rudimentares ou downloaders do YouTube em novas contas de editores.
Essas ferramentas inócuas acumulam avaliações positivas falsas para criar confiança artificial, após o que os invasores as esvaziam, injetando código malicioso que se faz passar por legítimo Carteiras de criptomoedas como MetaMask, TronLink, Exodus e Rabby.
As extensões alteradas capturam credenciais de carteira de campos de entrada do usuário em interfaces pop-up, exfiltrando-as junto com os endereços IP da vítima para um hub C2 remoto.
Essa evolução da campanha anterior da Foxy Wallet do grupo, que expôs 40 extensões, mais do que dobrou em escala, incorporando artefatos de código gerados por IA que aceleram a diversificação da carga útil e a evasão de mecanismos de detecção.
Nota dos pesquisadores que esse dimensionamento assistido por IA permite uma adaptação rápida, marcando uma mudança em direção a operações cibernéticas automatizadas e de alto volume que desafiam os sistemas legados de antivírus e verificação de mercado.
Complementando os ataques baseados em extensão, o GreedyBear implanta quase 500 executáveis maliciosos em famílias como LummaStealer para roubo de credenciais e ransomware inspirado no Luca Stealer para criptografia de arquivos e demandas de resgate de criptomoedas.
Distribuídos por meio de sites russos que oferecem software crackeado, esses trojans exibem recursos de carregador modular, permitindo pivôs táticos enquanto reutilizam a infraestrutura de back-end.
Dezenas de sites fraudulentos amplificam ainda mais a ameaça, disfarçados de produtos criptográficos, como carteiras de hardware da marca Júpiter ou serviços de reparo da Trezor.
Esses sites, com maquetes de interface do usuário fabricadas, atraem os usuários para divulgar credenciais ou detalhes de pagamento, potencialmente permitindo fraudes secundárias, como exploração de cartão de crédito.
Todos os elementos convergem em um único endereço IP (185.208.156.66), servindo como um C2 consolidado para coleta de dados, coordenação de ransomware e hospedagem de sites, o que ressalta a eficiência operacional do grupo e sugere uma expansão além do Firefox para o Chrome e outros ecossistemas, como evidenciado por uma extensão maliciosa “Filecoin Wallet” vinculada.
Cenário de ameaças cibernéticas em evolução
Essa operação sinaliza uma mudança de paradigma no crime cibernético, onde as ferramentas de IA capacitam os invasores a escalar ataques em velocidades sem precedentes, combinando a exploração de código aberto com a infraestrutura empresarial.
Originado das exposições da Foxy Wallet, o crescimento do GreedyBear em uma ameaça multiplataforma potencialmente direcionada ao Edge e além destaca as vulnerabilidades nos mercados de navegadores e a necessidade de ferramentas avançadas de governança.
A plataforma da Koi Security, que automatiza a avaliação de riscos em extensões, repositórios e código de terceiros, surge como uma defesa crítica, já confiável por empresas da Fortune 50.
Como ressalta a nova categoria de extensões IDE do MITRE, proteger o código não confiável é fundamental, com o GreedyBear exemplificando como os invasores exploram esses pontos cegos para obter ganhos financeiros maciços.
Tabela do COI
| Categoria | Indicadores |
|---|---|
| Ips | 185.208.156.66 185.39.206.135 |
| Domínios | exodlinkbase.digital, suirokboys.digital, avalancheproject.digital, allextdev.world, alladdsite.digital, metahoper.digital, filecoinwallet.net, suinetwork.world, 888surprising.pythonanywhere.com, ventroxibnk.com, coral-cat-546626.hostingersite.com, extprojectdev.top, teaser.co.com, jub.co.com, jup.co.com.trezor-wallet.io, jupiterwallet.co.com.trezor-wallet.io, secure-wallets.co.com, connects.co.com, tweser.io, snipersol.com, upholdassets.com |
| IDs de extensão do Firefox (exemplo) | exodus-addon, rabby-wallet-extension, backpack-wallet, leap-wallet-addon, ctrl-wallet, braavos-wallet-addon, bitget-crypto-wallet, okx-extension-wallet, slush-crypto-wallet-sui, solflare-crypto |
| IDs de extensão do Chrome | plbdecidfccdnfalpnbjdilfcmjichdk |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça