{"id":7836,"date":"2025-08-10T15:12:09","date_gmt":"2025-08-10T15:12:09","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/un-gruppo-di-hacker-russo-utilizza-versioni-fittizie-di-metamask-per-rubare-oltre-1-milione-di-dollari-in-criptovalute\/"},"modified":"2025-08-10T15:12:09","modified_gmt":"2025-08-10T15:12:09","slug":"un-gruppo-di-hacker-russo-utilizza-versioni-fittizie-di-metamask-per-rubare-oltre-1-milione-di-dollari-in-criptovalute","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/un-gruppo-di-hacker-russo-utilizza-versioni-fittizie-di-metamask-per-rubare-oltre-1-milione-di-dollari-in-criptovalute\/","title":{"rendered":"Un Gruppo di Hacker Russo Utilizza Versioni Fittizie di MetaMask per Rubare Oltre 1 Milione di Dollari in Criptovalute"},"content":{"rendered":"

Attivit\u00e0 del Gruppo di Hacker GreedyBear<\/h2>\n

Negli ultimi mesi, il gruppo di hacker russo GreedyBear<\/strong> ha ampliato le sue operazioni, utilizzando 150 “estensioni Firefox malevole”<\/strong> per colpire vittime internazionali di lingua inglese, secondo una ricerca condotta da Koi Security<\/strong>.<\/p>\n

Furto di Criptovalute su Scala Industriale<\/h2>\n

Pubblicando i risultati della sua indagine su un blog, Koi ha riportato che il gruppo ha “ridefinito il furto di criptovalute su scala industriale”<\/strong>, impiegando 150 estensioni Firefox malevole, quasi 500 eseguibili dannosi e “decine” di siti web di phishing<\/strong> per rubare oltre 1 milione di dollari<\/strong> nelle ultime cinque settimane.<\/p>\n

\n

“La campagna Firefox \u00e8 di gran lunga il suo vettore d’attacco pi\u00f9 redditizio, avendo guadagnato la maggior parte del milione di dollari riportato da solo.” – Idan Dardikman, CTO di Koi<\/p>\n<\/blockquote>\n

Metodi di Attacco e Tecniche Utilizzate<\/h2>\n

Questo inganno specifico coinvolge la creazione di versioni false di portafogli crypto ampiamente scaricati, come MetaMask<\/strong>, Exodus<\/strong>, Rabby Wallet<\/strong> e TronLink<\/strong>. Gli operatori di GreedyBear utilizzano la tecnica dell’Extension Hollowing<\/strong> per eludere le misure di sicurezza del marketplace, caricando inizialmente versioni non dannose delle estensioni, prima di aggiornare le app con codice dannoso.<\/p>\n

Pubblicano anche recensioni false<\/strong> delle estensioni, dando una falsa impressione di fiducia e affidabilit\u00e0. Una volta scaricate, le estensioni dannose rubano le credenziali del portafoglio, che vengono poi utilizzate per sottrarre criptovalute.<\/p>\n

Espansione delle Operazioni di GreedyBear<\/h2>\n

Non solo GreedyBear \u00e8 riuscito a rubare 1 milione di dollari in poco pi\u00f9 di un mese utilizzando questo metodo, ma ha anche notevolmente ampliato la scala delle sue operazioni, rispetto a una campagna precedente \u2013 attiva tra aprile e luglio di quest’anno \u2013 che coinvolgeva solo 40 estensioni<\/strong>.<\/p>\n

Il principale metodo d’attacco del gruppo include anche quasi 500 eseguibili Windows dannosi<\/strong>, che sono stati aggiunti a siti web russi che distribuiscono software piratato o ripackato. Tali eseguibili comprendono rubatori di credenziali, software ransomware e trojan, suggerendo, secondo Koi Security, “una vasta pipeline di distribuzione di malware, capace di adattare le proprie tattiche secondo necessit\u00e0.”<\/strong><\/p>\n

Siti Web di Phishing e Targeting delle Vittime<\/h2>\n

Il gruppo ha anche creato dozzine di siti web di phishing, che fingono di offrire servizi legittimi legati alle criptovalute, come portafogli digitali, dispositivi hardware o servizi di riparazione di portafogli. GreedyBear utilizza questi siti per indurre potenziali vittime a inserire dati personali e credenziali del portafoglio, che poi vengono utilizzati per rubare fondi.<\/p>\n

\n

“Vale la pena menzionare che la campagna Firefox ha preso di mira vittime pi\u00f9 globali e di lingua inglese, mentre gli eseguibili dannosi hanno colpito principalmente vittime di lingua russa.” – Idan Dardikman<\/p>\n<\/blockquote>\n

Controllo Centralizzato e Raccomandazioni di Sicurezza<\/h2>\n

Nonostante la variet\u00e0 di metodi d’attacco e di obiettivi, Koi riporta che “quasi tutti” i domini di attacco di GreedyBear rimandano a un singolo indirizzo IP: 185.208.156.66<\/strong>. Questo indirizzo funge da hub centrale per il coordinamento e la raccolta, consentendo agli hacker di GreedyBear di “semplificare le operazioni.”<\/strong><\/p>\n

Dardikman ha affermato che un singolo indirizzo IP “significa un controllo centralizzato stretto”<\/strong> piuttosto che una rete distribuita, suggerendo crimine informatico organizzato piuttosto che sponsorizzazione statale.<\/p>\n

Conclusioni e Suggerimenti per gli Utenti<\/h2>\n

Dardikman ha affermato che GreedyBear probabilmente continuer\u00e0 le sue operazioni e ha offerto diversi suggerimenti per evitare la loro crescente portata:<\/p>\n

    \n
  • Installa solo estensioni da sviluppatori verificati con una lunga storia.<\/strong><\/li>\n
  • Evita siti di software piratato.<\/strong><\/li>\n
  • Utilizza solo software di portafoglio ufficiale, e non estensioni del browser.<\/strong><\/li>\n
  • Usa portafogli hardware per significativi possedimenti in criptovalute, ma acquista solo dai siti ufficiali dei produttori.<\/strong><\/li>\n<\/ul>\n

    GreedyBear crea siti falsi di portafogli hardware per rubare informazioni di pagamento e credenziali.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Attivit\u00e0 del Gruppo di Hacker GreedyBear Negli ultimi mesi, il gruppo di hacker russo GreedyBear ha ampliato le sue operazioni, utilizzando 150 “estensioni Firefox malevole” per colpire vittime internazionali di lingua inglese, secondo una ricerca condotta da Koi Security. Furto di Criptovalute su Scala Industriale Pubblicando i risultati della sua indagine su un blog, Koi ha riportato che il gruppo ha “ridefinito il furto di criptovalute su scala industriale”, impiegando 150 estensioni Firefox malevole, quasi 500 eseguibili dannosi e “decine” di siti web di phishing per rubare oltre 1 milione di dollari nelle ultime cinque settimane. “La campagna Firefox \u00e8<\/p>\n","protected":false},"author":3,"featured_media":7835,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[200,65,272,74,8044,482],"class_list":["post-7836","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-exodus","tag-hack","tag-metamask","tag-russia","tag-tronlink","tag-windows"],"yoast_description":"Un gruppo di hacker russo, GreedyBear, sta utilizzando versioni false di MetaMask per rubare oltre 1 milione di dollari in criptovalute, impiegando estensioni Firefox malevole e siti di phishing.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/7836","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=7836"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/7836\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/7835"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=7836"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=7836"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=7836"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}