Російська хакерська група GreedyBear активно краде криптовалюту через шкідливі розширення Firefox та фішингові сайти.

Російська хакерська група GreedyBear активізувала свої операції за останні місяці, використовуючи 150 `зброєних розширень Firefox` для цілеспрямованих атак на міжнародні та англомовні жертви, згідно з дослідженням Koi Security.

У своєму блозі Koi, що базується в США та Ізраїлі, повідомила, що група `перевизначила промисловий масштаб крадіжки криптовалют`, використовуючи 150 зброєних розширень Firefox, близько 500 шкідливих виконуваних файлів та `дюжини` фішингових веб-сайтів для викрадення понад $1 мільйона протягом останніх п’яти тижнів.

Говорячи зDecrypt, технічний директор Koi Ідан Дардикман зазначив, що кампанія з використанням Firefox є `безсумнівно` найбільш вигідним вектором атак, який `приніс їм більшу частину з $1 мільйона, про який йдеться`.

Цей специфічний прийом передбачає створення підроблених версій широко завантажуваних криптовалютних гаманців, таких як MetaMask, Exodus, Rabby Wallet та TronLink.

Оперативники GreedyBear використовують методExtension Hollowing для обходу заходів безпеки ринку, спочатку завантажуючи не шкідливі версії розширень, перш ніж оновити додатки шкідливим кодом.

Вони також публікують підроблені відгуки про розширення, даючи хибне враження про довіру та надійність.

Проте, після завантаження, шкідливі розширення викрадають дані для доступу до гаманців, які потім використовуються для крадіжки криптовалюти.

GreedyBear змогла викрасти $1 мільйон всього за трохи більше місяця, використовуючи цей метод, але також значно розширила масштаб своїх операцій, оскільки попередня кампанія, активна між квітнем та липнем цього року, включала лише 40 розширень.

Іншим основним методом атаки групи є близько 500 шкідливих виконуваних файлів для Windows, які вона додала до російських веб-сайтів, що розповсюджують піратське або перероблене програмне забезпечення.

Такі виконувані файли включають викрадачі облікових даних, програмне забезпечення-вимагач і трояни, що свідчить про `широку мережу розповсюдження шкідливого програмного забезпечення, здатну змінювати тактики у разі потреби`.

Група також створила десятки фішингових веб-сайтів, які намагаються запропонувати легітимні послуги, пов’язані з криптовалютою, такі як цифрові гаманці, апаратні пристрої або послуги з ремонту гаманців.

GreedyBear використовує ці веб-сайти, щоб спонукати потенційних жертв вводити особисті дані та дані для доступу до гаманців, які потім використовуються для крадіжки коштів.

Варто зазначити, що кампанія з Firefox націлилася на більш глобальну/англомовну аудиторію, в той час як шкідливі виконувані файли були націлені на більш російськомовну.

Незважаючи на різноманітність методів атак і об’єктів, Koi також повідомляє, що `майже всі` домени атак GreedyBear посилаються на одну IP-адресу:185.208.156.66.

Згідно з доповіддю, ця адреса виконує функцію центрального хабу для координації та збору, що дозволяє хакерам GreedyBear `спростити операції`.

Дардикман зазначив, що одна IP-адреса `означає жорсткий централізований контроль`, а не розподілену мережу.

`Це вказує на організовану кіберзлочинність, а не на підтримку держави. Державні операції, як правило, використовують розподілену інфраструктуру, щоб уникнути єдиних точок відмови`, - додав він. `Ймовірно, що російські кримінальні групи працюють заради прибутку, а не за державним напрямом`.

Дардикман також вважав, що GreedyBear, ймовірно, продовжуватиме свої операції й надав кілька порад щодо уникнення їх розширення.

`Встановлюйте розширення тільки від перевірених розробників з тривалою історією`, - сказав він, додаючи, що користувачі завжди повинні уникати піратських сайтів програмного забезпечення.

Він також рекомендував використовувати тільки офіційне програмне забезпечення для гаманців, а не розширення браузера, хоча радив перейти від програмних гаманців, якщо ви серйозний інвестор на довгий термін.

Він зауважив: `Використовуйте апаратні гаманці для значних криптовалютних активів, але купуйте тільки з офіційних веб-сайтів виробників – GreedyBear створює підроблені сайти апаратних гаманців, щоб вкрасти платіжну інформацію та дані для доступу`.