Ökning av GreedyBear:s Operationer
Den ryska hackargruppen GreedyBear har ökat sina operationer under de senaste månaderna genom att använda 150 ”beväpnade Firefox-tillägg” för att rikta in sig på internationella och engelsktalande offer, enligt forskning från Koi Security. I en blogg publicerad av Koi, som är baserat i USA och Israel, redovisas resultaten av deras forskning, där de rapporterar att gruppen har ”omdefinierat industriell kryptovaluta-stöld”.
Metoder och Taktik
Genom att använda 150 beväpnade Firefox-tillägg, nära 500 skadliga exekverbara filer och ”dussintals” phishing-webbplatser har de stulit över 1 miljon dollar under de senaste fem veckorna. I en intervju med Decrypt sa Koi:s CTO Idan Dardikman att Firefox-kampanjen är ”långt ifrån” deras mest lönsamma attackvektor, som har ”gett dem det mesta av de 1 miljon dollar som rapporterats av sig själv.”
Dardikman förklarade att denna specifika taktik involverar att skapa falska versioner av allmänt nedladdade kryptovaluta-plånböcker som MetaMask, Exodus, Rabby Wallet och TronLink. GreedyBear-operatörer använder en teknik som kallas Extension Hollowing för att kringgå marknadsplatsens säkerhetsåtgärder genom att först ladda upp icke-skadliga versioner av tilläggen, innan de uppdaterar apparna med skadlig kod.
De publicerar också falska recensioner av tilläggen, vilket ger ett falskt intryck av förtroende och pålitlighet. När de har laddats ner stjäl de skadliga tilläggen plånboksuppgifter, som sedan används för att stjäla kryptovaluta.
Ökad Skala av Operationer
Inte bara har GreedyBear kunnat stjäla 1 miljon dollar på lite mer än en månad med denna metod, utan de har också kraftigt ökat skalan av sina operationer, med en tidigare kampanj – aktiv mellan april och juli i år – som involverade endast 40 tillägg.
Gruppens andra primära attackmetod involverar nästan 500 skadliga Windows-exekverbara filer, som de har lagt till ryska webbplatser som distribuerar piratkopierad eller ompackad programvara. Sådana exekverbara filer inkluderar uppgiftsstjälande program, ransomware och trojaner, vilket Koi Security föreslår indikerar ”en bred distributionspipeline för skadlig programvara, kapabel att ändra taktik vid behov.”
Phishing och Målgrupp
Gruppen har också skapat dussintals phishing-webbplatser som låtsas erbjuda legitima kryptorelaterade tjänster, såsom digitala plånböcker, hårdvaruenheter eller plånboksreparationstjänster. GreedyBear använder dessa webbplatser för att lura potentiella offer att ange personlig information och plånboksuppgifter, som de sedan använder för att stjäla medel.
”Det är värt att nämna att Firefox-kampanjen riktade sig mer mot globala/engelsktalande offer, medan de skadliga exekverbara filerna riktade sig mer mot rysktalande offer,” förklarar Idan Dardikman i en intervju med Decrypt.
Centralt Nav och Kontroll
Trots variationen av attackmetoder och mål rapporterar Koi också att ”nästan alla” GreedyBear:s attackdomäner länkar tillbaka till en enda IP-adress: 185.208.156.66. Enligt rapporten fungerar denna adress som ett centralt nav för samordning och insamling, vilket gör det möjligt för GreedyBear-hackare ”att effektivisera operationerna.”
Dardikman sa att en enda IP-adress ”betyder stram centraliserad kontroll” snarare än ett distribuerat nätverk. ”Detta tyder på organiserad cyberbrottslighet snarare än statligt stöd – statliga operationer använder vanligtvis distribuerad infrastruktur för att undvika enskilda felpunkter,” tillade han.
Framtida Åtgärder och Säkerhetstips
Dardikman sa att GreedyBear sannolikt kommer att fortsätta sina operationer och erbjöd flera tips för att undvika deras växande räckvidd:
- Installera endast tillägg från verifierade utvecklare med lång historia.
- Undvik piratkopierade programvarusajter.
- Använd endast officiell plånboksprogramvara och inte webbläsartillägg.
- För betydande kryptovaluta-innehav, använd hårdvaruplånböcker, men köp endast från officiella tillverkares webbplatser.
Dardikman varnade för att GreedyBear skapar falska hårdvaruplånbokswebbplatser för att stjäla betalningsinformation och uppgifter.
