Den kryptostöldkampanj som drivs av GreedyBear har gått in i en mer aggressiv fas och riktar nu in sig på kryptovalutaanvändare världen över med en samordnad kombination av falska webbläsartillägg, nätfiskewebbplatser och skadlig programvara. Forskare uppger att gruppen har stulit över 1 miljon dollar i digitala tillgångar, vilket markerar en av dess mest lönsamma perioder hittills.
Utökar attackarsenalen
GreedyBears operation använder nu tre sammankopplade attackvektorer, var och en utformad för att samla in känslig data, stjäla kryptovaluta och kompromettera offrens enheter.
- Skadliga webbläsartillägg
Säkerhetsanalytiker fann över 150 Firefox-tillägg som imiterade populära kryptoplånböcker, inklusive MetaMask, TronLink, Exodus och Rabby Wallet. Till en början verkade dessa tillägg legitima, ofta med höga betyg och autentiskt utseende. När de installerats använde angriparna en metod som kallas Extension Hollowing för att ersätta säker kod med skadlig kod som kunde logga plånboksuppgifter, sessionsdata och IP-adresser innan de skickades till en central server.
- Distribution av skadlig kod
GreedyBear spred även nästan 500 Windows-exekverbara filer förklädda som crackad eller piratkopierad programvara. Dessa nedladdningar innehöll informationsstjälande skadlig kod som LummaStealer och, i vissa fall, ransomware-varianter. Gruppen lade främst upp dessa filer på ryskspråkiga piratsajter, där intet ont anande användare som sökte gratis programvara blev lätta måltavlor.
- Nätfiskewebbplatser
Gruppens nätfiskesajt-nätverk innehåller realistiska sidor som imiterar kryptoplånböcker, supportsidor för hårdvaruplånböcker och tjänster för kontorestaurering. Dessa sidor lockar offer att ange seed-fraser eller privata nycklar, vilket gör det möjligt för angriparna att omedelbart tömma konton.
Centraliserad kommandostruktur
All stulen data, nätfiskeoperationer och kontrolltrafik för skadlig kod pekar mot samma kommando- och kontrollserver, identifierad med IP-adressen 185.208.156.66. Denna server hanterar exfiltrerade uppgifter, bearbetar stulen kryptovaluta och koordinerar distributionen av ransomware.
Ett snabbt växande hot
Forskare kopplar GreedyBears nuvarande taktik till dess tidigare “Foxy Wallet”-kampanj, som bara använde 40 falska tillägg. Den nya fasen mer än tredubblar den omfattningen. Som en säkerhetsanalytiker uttryckte det: ”GreedyBear diversifierar inte bara – de industrialiserar sin verksamhet.”
Slutsats
GreedyBears kryptostöldkampanj visar hur cyberkriminella kan kombinera webbläsarutnyttjande, nätfiske och skadlig kod med förödande effekt. Genom att kontrollera alla kanaler via en och samma infrastruktur maximerar gruppen effektiviteten och skalan. Säkerhetsexperter uppmanar användare att endast installera plånbokstillägg från verifierade källor, undvika att ladda ner piratkopierad programvara och noggrant kontrollera webbadresser innan någon känslig information anges.
0 svar till ”GreedyBear trappar upp kryptostöld med tillägg, webbplatser och skadlig kod”