GreedyBear sin kampanje for kryptotyveri har gått inn i en mer aggressiv fase og retter seg nå mot kryptovalutabrukere over hele verden med en koordinert kombinasjon av falske nettleserutvidelser, phishing-nettsteder og ondsinnet programvare. Forskere oppgir at gruppen har stjålet over 1 million dollar i digitale eiendeler, noe som markerer en av dens mest lønnsomme perioder til nå.
Utvider angrepsarsenalet
GreedyBears operasjon bruker nå tre sammenkoblede angrepsvektorer, hver utformet for å samle inn sensitiv data, stjele kryptovaluta og kompromittere offerets enheter.
- Ondsinnede nettleserutvidelser
Sikkerhetsanalytikere fant over 150 Firefox-utvidelser som etterlignet populære kryptolommebøker, inkludert MetaMask, TronLink, Exodus og Rabby Wallet. I starten fremsto disse utvidelsene som legitime, ofte med høye vurderinger og autentisk merkevareprofil. Når de var installert, brukte angriperne en metode kalt Extension Hollowing for å erstatte trygg kode med skadevare som kunne logge lommebokopplysninger, sesjonsdata og IP-adresser før de ble sendt til en sentral server.
- Distribusjon av skadevare
GreedyBear distribuerte også nesten 500 kjørbare Windows-filer forkledd som crackede eller piratkopierte programmer. Disse nedlastingene inneholdt informasjonstyver som LummaStealer og, i noen tilfeller, varianter av løsepengevirus. Gruppen la hovedsakelig ut disse filene på russiskspråklige piratsider, der intetanende brukere på jakt etter gratis programvare ble enkle mål.
- Phishing-nettsteder
Gruppens phishing-nettverk inkluderer realistiske nettsteder som etterligner kryptolommebøker, støttesider for maskinvarelommebøker og kontogjenopprettingstjenester. Disse sidene lokker ofre til å oppgi seed-fraser eller private nøkler, slik at angriperne umiddelbart kan tømme kontoene.
Sentralisert kommando-infrastruktur
All stjålet data, phishing-operasjoner og skadevarekontrolltrafikk peker mot den samme kommando- og kontrollserveren, identifisert med IP-adressen 185.208.156.66. Denne serveren håndterer eksfiltrerte legitimasjoner, prosesserer stjålet kryptovaluta og koordinerer distribusjonen av løsepengevirus.
En raskt voksende trussel
Forskere knytter GreedyBears nåværende taktikk til den tidligere “Foxy Wallet”-kampanjen, som kun brukte 40 falske utvidelser. Den nye fasen mer enn tredobler omfanget. Som en sikkerhetsanalytiker uttalte: «GreedyBear bare diversifiserer ikke – de industrialiserer virksomheten sin.»
Konklusjon
GreedyBears kampanje for kryptotyveri viser hvordan cyberkriminelle kan kombinere utnyttelse av nettlesere, phishing og skadevare med ødeleggende effekt. Ved å kontrollere alle kanaler gjennom én infrastruktur, maksimerer gruppen både effektiviteten og skalaen. Sikkerhetseksperter oppfordrer brukere til kun å installere lommebokutvidelser fra verifiserte kilder, unngå nedlasting av piratkopiert programvare og dobbeltsjekke nettadresser før man oppgir sensitiv informasjon.
0 svar til “GreedyBear trapper opp kryptotyveri med utvidelser, nettsteder og skadevare”