GreedyBear: 40 gefälschte Krypto-Wallet-Erweiterungen auf Firefox Marketplace gefunden

Eine ausgeklügelte und groß angelegte Cybercrime-Kampagne namens GreedyBear wurde aufgedeckt, weil sie Kryptowährungsnutzern mindestens eine Million Dollar gestohlen hat. Die von der Cybersicherheitsfirma Koi Security durchgeführte und mit Hackread.com geteilte Untersuchung enthüllt eine hochorganisierte Operation, die weit über typische Online-Betrugsfälle hinausgeht.

Anstatt sich auf eine einzige Angriffsart zu konzentrieren, nutzen die Kriminellen hinter GreedyBear einen koordinierten Mix aus schädlichen Browsererweiterungen , Schadsoftware und gefälschten Websites. Diese Strategie ermöglicht ihnen Angriffe aus mehreren Richtungen gleichzeitig, was ihre Operation unglaublich effektiv macht.

GreedyBear operiert vor allem über bösartige Browser-Erweiterungen. Die Gruppe hat über 150 gefälschte Erweiterungen für den Firefox-Marktplatz erstellt, die sich als beliebte Krypto-Wallets wie MetaMask, TronLink, Exodus und Rabby Wallet ausgeben.

Um Sicherheitsüberprüfungen zu umgehen, nutzen die Angreifer einen cleveren Trick namens „Extension Hollowing“. Sie laden zunächst harmlose Erweiterungen hoch und höhlen diese aus, nachdem sie durch gefälschte positive Bewertungen Glaubwürdigkeit erlangt haben. Anschließend ändern sie deren Namen und Symbole und injizieren Schadcode. Der Verlauf der positiven Bewertungen bleibt dabei erhalten.

Die zweite Methode umfasst fast 500 Schadprogramme bzw. ausführbare Dateien, die auf Websites mit Raubkopien zu finden sind. Zu diesen Schadprogrammen gehören Credential Stealer , die Ihre Anmeldeinformationen stehlen, und Ransomware, die Ihre Dateien sperrt und eine Zahlung verlangt. Die Vielfalt dieser Tools zeigt, dass die Gruppe nicht nur auf ein einziges Mittel zurückgreift, sondern über ein breites Spektrum an Methoden verfügt, um Opfer anzugreifen.

Drittens hat die Gruppe Dutzende gefälschte Websites eingerichtet, die wie legitime Kryptodienste oder Wallet-Reparaturtools aussehen. Diese Websites sind darauf ausgelegt, Benutzer zur Eingabe persönlicher Daten und Wallet-Details zu verleiten.

Ein wichtiges Detail, das die Untersuchungen von Koi Security enthüllt haben, ist, dass alle diese Angriffe, die gefälschten Erweiterungen, die Malware und die betrügerischen Websites mit einem einzigen zentralen Server ( 185.208.156.66 ) verbunden sind. Dieser zentrale Knotenpunkt ermöglicht es den Angreifern, ihre groß angelegte Operation äußerst effizient zu verwalten.

Forscher weisen darauf hin, dass sich diese Kampagne, die als kleinere Aktion unter dem Namen Foxy Wallet begann, mittlerweile zu einer großen plattformübergreifenden Bedrohung entwickelt hat und dass es Anzeichen dafür gibt, dass sie sich bald auf andere Browser wie Chrome und Edge ausweiten könnte.

Die Forscher stellten außerdem fest , dass diese Art groß angelegter, automatisierter Kriminalität wahrscheinlich durch neue KI-Tools ermöglicht wird, die es Kriminellen schneller und einfacher denn je machen, Angriffe zu starten. Diese neue Realität bedeutet, dass es für die Online-Sicherheit nicht mehr ausreicht, sich auf alte Sicherheitsmethoden zu verlassen.