Die GreedyBear-Kampagne zum Diebstahl von Kryptowährungen ist in eine aggressivere Phase eingetreten und zielt nun weltweit auf Kryptowährungsnutzer ab – mit einer koordinierten Mischung aus gefälschten Browsererweiterungen, Phishing-Websites und Schadsoftware. Forscher berichten, dass die Gruppe über 1 Million US-Dollar in digitalen Vermögenswerten gestohlen hat – eine ihrer bislang profitabelsten Phasen.
Ausbau des Angriffsarsenals
GreedyBears Operation nutzt nun drei miteinander verbundene Angriffsvektoren, die jeweils darauf ausgelegt sind, sensible Daten zu erbeuten, Kryptowährungen zu stehlen und die Geräte der Opfer zu kompromittieren.
- Schädliche Browsererweiterungen
Sicherheitsanalysten entdeckten mehr als 150 Firefox-Erweiterungen, die beliebte Kryptogeld-Wallets wie MetaMask, TronLink, Exodus und Rabby Wallet nachahmten. Anfangs wirkten diese Erweiterungen legitim, oft mit hohen Bewertungen und authentisch wirkendem Branding. Nach der Installation nutzten die Angreifer eine Methode namens Extension Hollowing, um sicheren Code durch Malware zu ersetzen, die Wallet-Zugangsdaten, Sitzungsinformationen und IP-Adressen protokollierte und an einen zentralen Server sendete.
- Malware-Verteilung
GreedyBear verteilte außerdem fast 500 ausführbare Windows-Dateien, die als gecrackte oder raubkopierte Software getarnt waren. Diese Downloads enthielten Informationsdiebstahl-Malware wie LummaStealer und in einigen Fällen Ransomware-Varianten. Die Gruppe hostete diese Dateien hauptsächlich auf russischsprachigen Piraterie-Websites, wo ahnungslose Nutzer auf der Suche nach kostenloser Software leichte Beute wurden.
- Phishing-Websites
Das Phishing-Netzwerk der Gruppe umfasst realistische Websites, die Kryptowallets, Support-Seiten für Hardware-Wallets und Dienste zur Kontowiederherstellung imitieren. Diese Seiten verleiten Opfer dazu, Seed-Phrasen oder private Schlüssel einzugeben, wodurch die Angreifer Konten sofort leeren können.
Zentralisierte Kommandoinfrastruktur
Alle gestohlenen Daten, Phishing-Aktivitäten und Malware-Kommunikation laufen über denselben Command-and-Control-Server mit der IP-Adresse 185.208.156.66. Dieser Server verwaltet gestohlene Zugangsdaten, verarbeitet erbeutete Kryptowährungen und koordiniert den Einsatz von Ransomware-Payloads.
Eine rasant wachsende Bedrohung
Forscher bringen GreedyBears aktuelle Taktiken mit der früheren „Foxy Wallet“-Kampagne in Verbindung, die nur 40 gefälschte Erweiterungen nutzte. Die neue Phase vervielfacht diesen Umfang mehr als um das Dreifache. Ein Sicherheitsanalyst bemerkte dazu: „GreedyBear diversifiziert nicht nur – sie industrialisieren ihre Operationen.“
Fazit
Die GreedyBear-Kampagne zum Kryptowährungsdiebstahl zeigt, wie Cyberkriminelle Browser-Exploits, Phishing und Malware mit verheerender Wirkung kombinieren können. Durch die Kontrolle aller Kanäle über eine einzige Infrastruktur maximiert die Gruppe Effizienz und Reichweite. Sicherheitsexperten raten Nutzern, Wallet-Erweiterungen nur aus verifizierten Quellen zu installieren, keine raubkopierte Software herunterzuladen und URLs sorgfältig zu prüfen, bevor sensible Informationen eingegeben werden.
0 Kommentare zu „GreedyBear steigert Kryptodiebstahl mit Erweiterungen, Websites und Malware“