Исследователи Koi Security обнаружили масштабную вредоносную кампанию под названием GreedyBear. Ее организаторы смогли разместить в официальном магазине приложений Mozilla Firefox сразу 150 дополнений для браузера Firefox. Они маскировались под расширения для криптовалютных кошельков таких популярных платформ как MetaMask, TronLink и Rabby.

Схема проникновения в официальный магазин была достаточно типичной. На первом этапе приложения загружались под нейтральными названиями и без какой-либо опасной «начинки». Затем, снабдив расширения большим количеством фальшивых позитивных отзывов и оценок, организаторы GreedyBear меняли названия расширений и внедряли в них вредоносный код. Он действовал по принципу клавиатурного шпиона, сохраняя данные, вводимые пользователями в обязательных для заполнения полях веб-форм, а также всплывающих окнах. Эти данные передавались на подконтрольный злоумышленникам командный сервер. В результате киберпреступники смогли похитить из кошельков пользователей криптовалюту на общую сумму порядка 1 миллиона долларов.

Специалисты Koi Security уведомили организацию Mozilla о проблеме, и к настоящему моменту все вредоносные дополнения удалены из магазина. Однако тревогу вызывает тот факт, что при анализе кодов этих дополнений были выявлены артефакты, убедительно свидетельствующие о том, что программы создавались с помощью искусственного интеллекта. Это означает, что киберпреступникам не составит никакого труда вновь создать значительное количество вредоносных инструментов и возобновить свою деятельность в прежнем масштабе. Кроме того, организаторы GreedyBear, очевидно, уже выбрали и новую цель. Исследователи Koi Security обнаружили вредоносное расширение Filecoin Wallet для браузера Chrome. Оно использует ту же логику похищения данных и связывается с командным сервером по тому же IP-адресу, что и вредоносные расширения для Firefox.