Российская хакерская группа GreedyBear увеличивает операции по краже криптовалюты с помощью вредоносных расширений Firefox и фишинговых сайтов

Российская хакерская группа GreedyBear увеличила свои операции в последние месяцы, используя 150 `вооруженных расширений Firefox`, чтобы нацелиться на международные и англоязычные жертвы, согласно исследованию Koi Security.

Публикуя результаты своего исследования в блоге, Koi, базирующаяся в США и Израиле, сообщила, что группа `переопределила промышленный масштаб кражи криптовалюты`, используя 150 вооруженных расширений Firefox, близко к 500 вредоносным исполняемым файлам и `десятки` фишинговых веб-сайтов, чтобы украсть более 1 миллиона долларов за последние пять недель.

В интервью Decrypt технический директор Koi Идан Дардикман заявил, что кампания Firefox является `по сути` самым прибыльным вектором атаки группы, которая `заработала большую часть из заявленных 1 миллиона долларов`.

Этот конкретный прием включает создание поддельных версий широко загружаемых криптокошельков, таких как MetaMask, Exodus, Rabby Wallet и TronLink.

Оперативники GreedyBear используют метод Extension Hollowing для обхода мер безопасности на рынках, первоначально загружают не вредоносные версии расширений, прежде чем обновить приложения вредоносным кодом.

Они также публикуют поддельные отзывы о расширениях, создавая ложное впечатление доверия и надежности.

Но после загрузки вредоносные расширения крадут учетные данные кошелька, которые затем используются для кражи криптовалюты.

GreedyBear сумела украсть 1 миллион долларов всего за чуть более месяца, используя этот метод, и значительно увеличила масштаб своих операций, при этом предыдущая кампания — активная между апрелем и июлем этого года — включала всего 40 расширений.

Другим основным методом атаки группы является использование почти 500 вредоносных исполняемых файлов Windows, которые она добавила на российские веб-сайты, распространяющие пиратское или переработанное программное обеспечение.

Такие исполняемые файлы включают программы для кражи учетных данных, программное обеспечение-вымогатели и трояны, что, по мнению Koi Security, указывает на `широкую цепочку распространения вредоносного ПО, способную менять тактику по мере необходимости`.

Группа также создала десятки фишинговых веб-сайтов, которые притворяются теми, которые предлагают легитимные криптовалютные услуги, такие как цифровые кошельки, аппаратные устройства или услуги по ремонту кошельков.

GreedyBear использует эти сайты, чтобы уговаривать потенциальные жертвы ввести личные данные и учетные данные кошельков, которые затем используются для кражи средств.

Идан Дардикман объяснил, что `кампания Firefox была нацелена на более глобальные/англоязычные жертвы, в то время как вредоносные исполняемые файлы нацелились на более русскоязычных жертв`.

Несмотря на разнообразие методов атак и целей, Koi также сообщает, что `почти все` домены атак GreedyBear ссылаются на один и тот же IP-адрес: 185.208.156.66.

Согласно отчету, этот адрес функционирует как центральный узел для координации и сбора, позволяя хакерам GreedyBear `оптимизировать операции`.

Дардикман сказал, что один IP-адрес `означает жесткий централизованный контроль`, а не распределенную сеть.

Это предполагает организованную киберпреступность, а не государственное спонсирование — правительственные операции, как правило, используют распределенную инфраструктуру, чтобы избежать единой точки отказа, — добавил он. `Скорее всего, российские преступные группы, работающие ради прибыли, а не по указанию государства`.

Дардикман заявил, что GreedyBear, вероятно, продолжит свою деятельность и предложил несколько советов по избежанию их растущего влияния.

Он сказал: `Устанавливайте расширения только от проверенных разработчиков с долгой историей`, добавив, что пользователи всегда должны избегать сайтов с пиратским программным обеспечением.

Он также рекомендовал использовать только официальное программное обеспечение для кошельков, а не расширения браузера, хотя посоветовал отходить от программных кошельков, если вы серьезный долгосрочный инвестор.

Он сказал: `Используйте аппаратные кошельки для значительных криптохранений, но покупайте только на официальных сайтах производителей — GreedyBear создает поддельные сайты аппаратных кошельков, чтобы красть платежную информацию и учетные данные.`