Den russiske hackinggruppen GreedyBear
Den russiske hackinggruppen GreedyBear har utvidet sine operasjoner de siste månedene ved å bruke 150 «våpeniserte Firefox-utvidelser» for å målrette internasjonale og engelsktalende ofre, ifølge forskning fra Koi Security. I en bloggpost som publiserte resultatene av sin forskning, rapporterte Koi, som har base i USA og Israel, at gruppen har «omdefinert industrielt skala kryptotyveri» ved å bruke 150 våpeniserte Firefox-utvidelser, nær 500 ondsinnede kjørbare filer og «dussinvis» av phishing-nettsteder for å stjele over 1 million dollar de siste fem ukene.
Angrepsmetoder
I et intervju med Decrypt sa Koi CTO Idan Dardikman at Firefox-kampanjen er «langt» den mest lønnsomme angrepsmetoden, og har «gitt dem mesteparten av de 1 million dollar som er rapportert av seg selv.» Denne spesifikke metoden involverer å lage falske versjoner av mye nedlastede kryptovaluta-lommebøker som MetaMask, Exodus, Rabby Wallet og TronLink.
GreedyBear-operatører bruker Extension Hollowing for å omgå sikkerhetstiltakene på markedsplassen, ved først å laste opp ikke-ondsinnede versjoner av utvidelsene, før de oppdaterer appene med ondsinnet kode. De legger også ut falske anmeldelser av utvidelsene, noe som gir et falskt inntrykk av tillit og pålitelighet. Når de er lastet ned, stjeler de ondsinnede utvidelsene lommeboklegitimasjon, som deretter brukes til å stjele kryptovaluta.
Ikke bare har GreedyBear vært i stand til å stjele over 1 million dollar på litt over en måned ved hjelp av denne metoden, men de har også betydelig økt omfanget av sine operasjoner, med en tidligere kampanje – aktiv mellom april og juli i år – som involverte bare 40 utvidelser.
Distribusjon av skadelig programvare
Gruppens andre primære angrepsmetode involverer nesten 500 ondsinnede Windows-kjørbare filer, som de har lagt til russiske nettsteder som distribuerer piratkopiert eller ompakket programvare. Slike kjørbare filer inkluderer legitimasjonsstjeler, ransomware-programvare og trojanere, som Koi Security antyder indikerer «en bred distribusjonslinje for skadelig programvare, i stand til å endre taktikk etter behov.»
Gruppen har også opprettet dusinvis av phishing-nettsteder som later som de tilbyr legitime kryptorelaterte tjenester, som digitale lommebøker, maskinvareenheter eller reparasjonstjenester for lommebøker. GreedyBear bruker disse nettstedene for å lokke potensielle ofre til å oppgi personlig informasjon og lommeboklegitimasjon, som de deretter bruker til å stjele midler.
«Det er verdt å nevne at Firefox-kampanjen målretter mer globale/engelsktalende ofre, mens de ondsinnede kjørbare filene målretter mer russisktalende ofre,» forklarer Idan Dardikman i et intervju med Decrypt.
Sentralisert kontroll og anbefalinger
Til tross for variasjonen i angrepsmetoder og mål, rapporterer Koi også at «nesten alle» GreedyBear-angrepsdomener peker tilbake til en enkelt IP-adresse: 185.208.156.66. Ifølge rapporten fungerer denne adressen som et sentralt knutepunkt for koordinering og innsamling, noe som gjør det mulig for GreedyBear-hackerne «å strømlinjeforme operasjonene.»
Dardikman sa at en enkelt IP-adresse «betyr stram sentralisert kontroll» i stedet for et distribuert nettverk. «Dette antyder organisert cyberkriminalitet snarere enn statlig sponsing – regjeringens operasjoner bruker vanligvis distribuert infrastruktur for å unngå enkeltpunkter av svikt,» la han til. «Sannsynligvis russiske kriminelle grupper som opererer for profitt, ikke statlig styring.»
Dardikman sa at GreedyBear sannsynligvis vil fortsette sine operasjoner og ga flere tips for å unngå deres voksende rekkevidde. «Installer bare utvidelser fra verifiserte utviklere med lang historie,» sa han, og la til at brukere alltid bør unngå piratkopierte programvare-nettsteder. Han anbefalte også å bruke kun offisiell lommeprogramvare, og ikke nettleserutvidelser, selv om han rådet til å bevege seg bort fra programvarelommebøker hvis du er en seriøs langsiktig investor. Han sa: «Bruk maskinvarelommebøker for betydelige kryptovaluta-beholdninger, men kjøp kun fra offisielle produsentnettsteder – GreedyBear lager falske maskinvarelommebok-nettsteder for å stjele betalingsinformasjon og legitimasjon.»
