GreedyBears kampagne for kryptotyveri er gået ind i en mere aggressiv fase og retter sig nu mod kryptovalutabrugere over hele verden med en koordineret kombination af falske browserudvidelser, phishing-hjemmesider og ondsindet software. Forskere oplyser, at gruppen har stjålet over 1 million dollars i digitale aktiver, hvilket markerer en af dens mest profitable perioder til dato.
Udvider angrebsarsenalet
GreedyBears operation bruger nu tre sammenkoblede angrebsvektorer, hver designet til at indsamle følsomme data, stjæle kryptovaluta og kompromittere ofrenes enheder.
- Ondsindede browserudvidelser
Sikkerhedsanalytikere fandt over 150 Firefox-udvidelser, der efterlignede populære kryptopunge, herunder MetaMask, TronLink, Exodus og Rabby Wallet. I begyndelsen fremstod disse udvidelser som legitime, ofte med høje bedømmelser og autentisk branding. Når de var installeret, brugte angriberne en metode kaldet Extension Hollowing til at erstatte sikker kode med malware, der kunne logge pungoplysninger, sessionsdata og IP-adresser, før de blev sendt til en central server.
- Udrulning af malware
GreedyBear distribuerede også næsten 500 eksekverbare Windows-filer, der var forklædt som crackede eller piratkopierede programmer. Disse downloads indeholdt informationsstjælende malware som LummaStealer og, i nogle tilfælde, varianter af ransomware. Gruppen hostede primært disse filer på russisksprogede piratsider, hvor intetanende brugere på jagt efter gratis software blev lette mål.
- Phishing-hjemmesider
Gruppens phishing-netværk omfatter realistiske hjemmesider, der efterligner kryptopunge, support-sider til hardwarepunge og tjenester til kontogendannelse. Disse sider lokker ofre til at indtaste seed-fraser eller private nøgler, så angriberne straks kan tømme kontiene.
Centraliseret kommandoinfrastruktur
Alle stjålne data, phishing-operationer og malwarekontroltrafik peger mod den samme kommando- og kontrolserver, identificeret med IP-adressen 185.208.156.66. Denne server håndterer eksfiltrerede legitimationsoplysninger, behandler stjålen kryptovaluta og koordinerer udrulningen af ransomware.
En hastigt voksende trussel
Forskere forbinder GreedyBears nuværende taktik med den tidligere “Foxy Wallet”-kampagne, som kun brugte 40 falske udvidelser. Den nye fase mere end tredobler omfanget. Som en sikkerhedsanalytiker sagde: “GreedyBear diversificerer ikke bare – de industrialiserer deres drift.”
Konklusion
GreedyBears kampagne for kryptotyveri viser, hvordan cyberkriminelle kan kombinere udnyttelse af browsere, phishing og malware med ødelæggende effekt. Ved at kontrollere alle kanaler gennem én infrastruktur maksimerer gruppen både effektiviteten og skalaen. Sikkerhedseksperter opfordrer brugere til kun at installere pungudvidelser fra verificerede kilder, undgå at downloade piratkopieret software og dobbelttjekke webadresser, før der indtastes følsomme oplysninger.
0 svar til “GreedyBear skruer op for kryptotyveri med udvidelser, hjemmesider og malware”