Aktivitäten der Hackergruppe GreedyBear
Die russische Hackergruppe GreedyBear hat in den letzten Monaten ihre Aktivitäten ausgeweitet und nutzt 150 „bewaffnete Firefox-Erweiterungen“, um internationale und englischsprachige Opfer ins Visier zu nehmen, wie die Forschung von Koi Security zeigt. In einem Blogbeitrag veröffentlichte Koi, mit Sitz in den USA und Israel, die Ergebnisse ihrer Untersuchung und berichtete, dass die Gruppe „Krypto-Diebstahl im industriellen Maßstab neu definiert“ hat.
Methoden und Techniken
GreedyBear verwendet 150 modifizierte Firefox-Erweiterungen, fast 500 bösartige ausführbare Dateien und „Dutzende“ von Phishing-Websites, um in den letzten fünf Wochen über 1 Million Dollar zu stehlen. Im Gespräch mit Decrypt erklärte Koi-CTO Idan Dardikman, dass die Firefox-Kampagne „bei weitem“ der lukrativste Angriffsvektor sei, der „den Großteil der 1 Million Dollar, die sie selbst gemeldet haben, eingebracht hat“.
Diese spezielle Masche besteht darin, gefälschte Versionen weit verbreiteter Krypto-Wallets wie MetaMask, Exodus, Rabby Wallet und TronLink zu erstellen. Die Operativen von GreedyBear verwenden eine Technik namens Extension Hollowing, um die Sicherheitsmaßnahmen des Marktplatzes zu umgehen. Zunächst laden sie nicht bösartige Versionen der Erweiterungen hoch, bevor sie die Apps mit bösartigem Code aktualisieren. Zudem posten sie gefälschte Bewertungen der Erweiterungen, um einen falschen Eindruck von Vertrauen und Zuverlässigkeit zu erwecken.
Die Auswirkungen der Angriffe
Einmal heruntergeladen, stehlen die bösartigen Erweiterungen die Wallet-Anmeldeinformationen, die dann verwendet werden, um Kryptowährung zu stehlen. GreedyBear konnte nicht nur in etwas mehr als einem Monat 1 Million Dollar mit dieser Methode stehlen, sondern hat auch das Ausmaß ihrer Operationen erheblich erhöht. Eine frühere Kampagne, die zwischen April und Juli dieses Jahres aktiv war, umfasste lediglich 40 Erweiterungen.
Eine weitere Hauptangriffsmethode der Gruppe sind fast 500 bösartige Windows-Ausführungsdateien, die sie auf russischen Websites platziert hat, die raubkopierte oder umverpackte Software vertreiben. Diese ausführbaren Dateien umfassen Credential Stealer, Ransomware-Software und Trojaner, was Koi Security als Hinweis auf „eine breite Malware-Verteilungspipeline“ interpretiert.
Phishing-Websites und Zielgruppen
Die Gruppe hat auch Dutzende von Phishing-Websites erstellt, die vorgeben, legitime krypto-bezogene Dienstleistungen anzubieten, wie digitale Wallets, Hardwaregeräte oder Wallet-Reparaturdienste. GreedyBear nutzt diese Websites, um potenzielle Opfer dazu zu bringen, persönliche Daten und Wallet-Anmeldeinformationen einzugeben, die dann verwendet werden, um Gelder zu stehlen.
„Es ist erwähnenswert, dass die Firefox-Kampagne mehr globale und englischsprachige Opfer ins Visier nahm, während die bösartigen ausführbaren Dateien mehr russischsprachige Opfer anvisierten“, erklärt Idan Dardikman im Gespräch mit Decrypt.
Zentrale Koordination und Empfehlungen
Trotz der Vielzahl von Angriffsmethoden und -zielen berichtet Koi auch, dass „fast alle“ Angriffsdomänen von GreedyBear auf eine einzige IP-Adresse verweisen: 185.208.156.66. Laut dem Bericht fungiert diese Adresse als zentrales Hub für Koordination und Sammlung, was es den Hackern von GreedyBear ermöglicht, „die Operationen zu optimieren“.
Dardikman erklärte, dass eine einzige IP-Adresse „eine enge zentrale Kontrolle bedeutet“ und nicht ein verteiltes Netzwerk. „Das deutet auf organisiertes Cybercrime hin, nicht auf staatliche Unterstützung“, fügte er hinzu. „Wahrscheinlich handelt es sich um russische kriminelle Gruppen, die auf Gewinn aus sind, nicht auf staatliche Anweisung.“
Dardikman sagte, dass GreedyBear wahrscheinlich seine Operationen fortsetzen wird, und gab mehrere Tipps, um ihre wachsende Reichweite zu vermeiden:
- „Installieren Sie nur Erweiterungen von verifizierten Entwicklern mit langer Historie“, riet er.
- Benutzer sollten immer raubkopierte Softwareseiten meiden.
- Er empfahl auch, nur offizielle Wallet-Software und keine Browsererweiterungen zu verwenden.
- „Verwenden Sie Hardware-Wallets für bedeutende Krypto-Bestände, aber kaufen Sie nur von offiziellen Hersteller-Websites“
.
„GreedyBear erstellt gefälschte Hardware-Wallet-Websites, um Zahlungsinformationen und Anmeldeinformationen zu stehlen“.
