GreedyBear: W sklepie Firefox Marketplace znaleziono 40 fałszywych rozszerzeń portfeli kryptowalutowych
Wyrafinowana i zakrojona na szeroką skalę kampania cyberprzestępcza o nazwie GreedyBear została ujawniona i doprowadziła do kradzieży co najmniej miliona dolarów od użytkowników kryptowalut. Badania, przeprowadzone przez firmę zajmującą się cyberbezpieczeństwem Koi Security i udostępnione portalowi Hackread.com, ujawniają wysoce zorganizowaną operację, wykraczającą daleko poza typowe oszustwa internetowe .
Zamiast koncentrować się na jednym typie ataku, przestępcy stojący za GreedyBear stosują skoordynowaną kombinację złośliwych rozszerzeń przeglądarek , złośliwego oprogramowania i fałszywych stron internetowych. Ta strategia pozwala im atakować z wielu stron jednocześnie, co czyni ich operację niezwykle skuteczną.
Jednym z głównych sposobów działania GreedyBear są złośliwe rozszerzenia przeglądarki. Grupa stworzyła ponad 150 fałszywych rozszerzeń dla Firefox Marketplace, podszywających się pod popularne portfele kryptowalut, takie jak MetaMask, TronLink, Exodus i Rabby Wallet.
Atakujący stosują sprytną sztuczkę zwaną „Extension Hollowing”, aby ominąć kontrole bezpieczeństwa. Najpierw przesyłają nieszkodliwe rozszerzenia, a po zbudowaniu wiarygodności dzięki fałszywym pozytywnym recenzjom, „wydrążają” rozszerzenia, zmieniając ich nazwy i ikony oraz wstrzykując złośliwy kod, zachowując jednocześnie historię pozytywnych recenzji.
Druga metoda obejmuje prawie 500 złośliwych programów, czyli plików wykonywalnych, znalezionych na stronach oferujących pirackie oprogramowanie. Do tych szkodliwych programów należą programy wykradające dane uwierzytelniające , których celem jest kradzież danych logowania, oraz ransomware, który blokuje pliki i żąda okupu. Różnorodność tych narzędzi pokazuje, że grupa nie ogranicza się do jednego typu działalności, ale stosuje szeroki wachlarz metod atakowania ofiar.
Po trzecie, grupa stworzyła dziesiątki fałszywych stron internetowych, które wyglądają jak legalne usługi kryptowalutowe lub narzędzia do naprawy portfeli. Strony te mają na celu nakłonienie użytkowników do podania danych osobowych i danych portfela.
Kluczowym szczegółem ujawnionym przez badania Koi Security jest to, że wszystkie te ataki – fałszywe rozszerzenia, złośliwe oprogramowanie i oszukańcze strony internetowe – są połączone z jednym centralnym serwerem ( 185.208.156.66 ). Ten centralny serwer pozwala atakującym na zarządzanie ich operacjami na dużą skalę z dużą wydajnością.
Badacze zauważają, że kampania ta, która zaczęła się jako mniejsza inicjatywa znana pod nazwą Foxy Wallet, rozrosła się obecnie do poważnego zagrożenia obejmującego wiele platform i wszystko wskazuje na to, że wkrótce może rozszerzyć się na inne przeglądarki, np. Chrome i Edge.
Naukowcy zauważyli również, że tego typu masowa, zautomatyzowana przestępczość jest prawdopodobnie możliwa dzięki nowym narzędziom sztucznej inteligencji, które sprawiają, że przestępcy mogą przeprowadzać ataki szybciej i łatwiej niż kiedykolwiek. Ta nowa rzeczywistość oznacza, że poleganie na starych metodach zabezpieczeń nie wystarczy już do zapewnienia sobie bezpieczeństwa w sieci.
HackRead
