El grupo de hackers ruso GreedyBear<\/strong> ha ampliado sus operaciones en los \u00faltimos meses, utilizando 150 \u00abextensiones de Firefox maliciosas\u00bb<\/strong> para atacar a v\u00edctimas internacionales de habla inglesa, seg\u00fan una investigaci\u00f3n de Koi Security<\/strong>. Publicando los resultados de su investigaci\u00f3n en un blog, Koi, con sede en EE. UU. e Israel, inform\u00f3 que el grupo ha \u00abredefinido el robo de criptomonedas a escala industrial\u00bb<\/strong>, utilizando 150 extensiones de Firefox maliciosas, cerca de 500 ejecutables da\u00f1inos y \u00abdocenas\u00bb<\/strong> de sitios web de phishing para robar m\u00e1s de $1 mill\u00f3n<\/strong> en las \u00faltimas cinco semanas.<\/p>\n Hablando con Decrypt<\/em>, el CTO de Koi, Idan Dardikman, afirm\u00f3 que la campa\u00f1a de Firefox es \u00abcon mucho\u00bb<\/strong> su vector de ataque m\u00e1s lucrativo, habiendo \u00abganado la mayor parte del mill\u00f3n de d\u00f3lares reportado por s\u00ed mismo\u00bb<\/strong>. Este enga\u00f1o particular implica la creaci\u00f3n de versiones falsas de billeteras de criptomonedas ampliamente descargadas, como MetaMask<\/strong>, Exodus<\/strong>, Rabby Wallet<\/strong> y TronLink<\/strong>.<\/p>\n Los operativos de GreedyBear utilizan una t\u00e9cnica conocida como Extension Hollowing<\/strong> para eludir las medidas de seguridad del mercado, subiendo inicialmente versiones no maliciosas de las extensiones, antes de actualizar las aplicaciones con c\u00f3digo malicioso. Adem\u00e1s, publican rese\u00f1as falsas de las extensiones, dando una falsa impresi\u00f3n de confianza y fiabilidad. Una vez descargadas, las extensiones maliciosas roban las credenciales de las billeteras, que luego se utilizan para sustraer criptomonedas.<\/p>\n No solo GreedyBear ha logrado robar $1 mill\u00f3n<\/strong> en poco m\u00e1s de un mes utilizando este m\u00e9todo, sino que tambi\u00e9n han ampliado enormemente la escala de sus operaciones, en comparaci\u00f3n con una campa\u00f1a anterior, activa entre abril y julio de este a\u00f1o, que involucraba solo 40 extensiones<\/strong>.<\/p>\n El otro m\u00e9todo principal de ataque del grupo implica casi 500 ejecutables maliciosos de Windows<\/strong>, que han sido a\u00f1adidos a sitios web rusos que distribuyen software pirateado o reempaquetado. Dichos ejecutables incluyen robadores de credenciales, software de ransomware y troyanos, lo que Koi Security sugiere indica \u00abuna amplia tuber\u00eda de distribuci\u00f3n de malware, capaz de cambiar de t\u00e1cticas seg\u00fan sea necesario\u00bb<\/strong>.<\/p>\n El grupo tambi\u00e9n ha creado docenas de sitios web de phishing<\/strong> que pretenden ofrecer servicios leg\u00edtimos relacionados con criptomonedas, como billeteras digitales, dispositivos de hardware o servicios de reparaci\u00f3n de billeteras. GreedyBear utiliza estos sitios web para persuadir a las posibles v\u00edctimas a ingresar datos personales y credenciales de billeteras, que luego son utilizados para robar fondos.<\/p>\n \u00abVale la pena mencionar que la campa\u00f1a de Firefox apunt\u00f3 a v\u00edctimas m\u00e1s globales y de habla inglesa, mientras que los ejecutables maliciosos se dirigieron a v\u00edctimas de habla rusa\u00bb<\/p><\/blockquote>\n explica Idan Dardikman en su conversaci\u00f3n con Decrypt. A pesar de la variedad de m\u00e9todos de ataque y de objetivos, Koi tambi\u00e9n informa que \u00abcasi todos\u00bb<\/strong> los dominios de ataque de GreedyBear se vinculan a una sola direcci\u00f3n IP: 185.208.156.66<\/strong>. Seg\u00fan el informe, esta direcci\u00f3n funciona como un centro central<\/strong> para la coordinaci\u00f3n y recolecci\u00f3n, permitiendo a los hackers de GreedyBear \u00aboptimizar sus operaciones\u00bb<\/strong>.<\/p>\n Dardikman se\u00f1al\u00f3 que una sola direcci\u00f3n IP \u00absignifica un control centralizado estricto\u00bb<\/strong> en lugar de una red distribuida. \u00abEsto sugiere cibercriminalidad organizada en lugar de patrocinio estatal; las operaciones gubernamentales t\u00edpicamente utilizan infraestructura distribuida para evitar puntos \u00fanicos de falla\u00bb<\/strong>, agreg\u00f3. \u00abProbablemente se trate de grupos criminales rusos operando por lucro, no por direcci\u00f3n estatal\u00bb<\/strong>.<\/p>\n Dardikman anticip\u00f3 que GreedyBear probablemente continuar\u00e1 sus operaciones y ofreci\u00f3 varios consejos para evitar su alcance en expansi\u00f3n. <\/p>\n \u00abSolo instale extensiones de desarrolladores verificados con un historial s\u00f3lido\u00bb<\/p><\/blockquote>\n , dijo, a\u00f1adiendo que los usuarios siempre deben evitar sitios de software pirateado. Tambi\u00e9n recomend\u00f3 usar solo software de billetera oficial y no extensiones de navegador, aunque aconsej\u00f3 alejarse de las billeteras de software si eres un inversor serio a largo plazo.<\/p>\n Dijo: <\/p>\n \u00abUtilice billeteras de hardware para tenencias significativas de criptomonedas, pero compre solo en sitios web de fabricantes oficiales; GreedyBear crea sitios falsos de billeteras de hardware para robar informaci\u00f3n de pago y credenciales\u00bb<\/p><\/blockquote>\n .<\/p>\n","protected":false},"excerpt":{"rendered":" Operaciones del Grupo de Hackers GreedyBear El grupo de hackers ruso GreedyBear ha ampliado sus operaciones en los \u00faltimos meses, utilizando 150 \u00abextensiones de Firefox maliciosas\u00bb para atacar a v\u00edctimas internacionales de habla inglesa, seg\u00fan una investigaci\u00f3n de Koi Security. Publicando los resultados de su investigaci\u00f3n en un blog, Koi, con sede en EE. UU. e Israel, inform\u00f3 que el grupo ha \u00abredefinido el robo de criptomonedas a escala industrial\u00bb, utilizando 150 extensiones de Firefox maliciosas, cerca de 500 ejecutables da\u00f1inos y \u00abdocenas\u00bb de sitios web de phishing para robar m\u00e1s de $1 mill\u00f3n en las \u00faltimas cinco semanas. M\u00e9todos<\/p>\n","protected":false},"author":3,"featured_media":7836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[200,65,272,74,8044,482],"class_list":["post-7837","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-exodus","tag-hack","tag-metamask","tag-russia","tag-tronlink","tag-windows"],"yoast_description":"Un grupo de hackers rusos, GreedyBear, est\u00e1 utilizando versiones falsas de MetaMask para robar m\u00e1s de $1 mill\u00f3n en criptomonedas mediante extensiones de Firefox maliciosas y sitios de phishing.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/7837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=7837"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/7837\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/7836"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=7837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=7837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=7837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}M\u00e9todos de Ataque<\/h2>\n
Sitios de Phishing y Objetivos<\/h2>\n
Consejos de Seguridad<\/h2>\n