Die russische Hackergruppe GreedyBear<\/strong> hat in den letzten Monaten ihre Aktivit\u00e4ten ausgeweitet und nutzt 150 \u201ebewaffnete Firefox-Erweiterungen\u201c<\/strong>, um internationale und englischsprachige Opfer ins Visier zu nehmen, wie die Forschung von Koi Security<\/em> zeigt. In einem Blogbeitrag ver\u00f6ffentlichte Koi, mit Sitz in den USA und Israel, die Ergebnisse ihrer Untersuchung und berichtete, dass die Gruppe \u201eKrypto-Diebstahl im industriellen Ma\u00dfstab neu definiert\u201c<\/strong> hat.<\/p>\n GreedyBear verwendet 150 modifizierte Firefox-Erweiterungen<\/strong>, fast 500 b\u00f6sartige ausf\u00fchrbare Dateien<\/strong> und \u201eDutzende\u201c von Phishing-Websites, um in den letzten f\u00fcnf Wochen \u00fcber 1 Million Dollar<\/strong> zu stehlen. Im Gespr\u00e4ch mit Decrypt<\/em> erkl\u00e4rte Koi-CTO Idan Dardikman<\/strong>, dass die Firefox-Kampagne \u201ebei weitem\u201c der lukrativste Angriffsvektor<\/strong> sei, der \u201eden Gro\u00dfteil der 1 Million Dollar, die sie selbst gemeldet haben, eingebracht hat\u201c<\/strong>.<\/p>\n Diese spezielle Masche besteht darin, gef\u00e4lschte Versionen weit verbreiteter Krypto-Wallets wie MetaMask<\/strong>, Exodus<\/strong>, Rabby Wallet<\/strong> und TronLink<\/strong> zu erstellen. Die Operativen von GreedyBear verwenden eine Technik namens Extension Hollowing<\/strong>, um die Sicherheitsma\u00dfnahmen des Marktplatzes zu umgehen. Zun\u00e4chst laden sie nicht b\u00f6sartige Versionen der Erweiterungen hoch, bevor sie die Apps mit b\u00f6sartigem Code aktualisieren. Zudem posten sie gef\u00e4lschte Bewertungen der Erweiterungen, um einen falschen Eindruck von Vertrauen und Zuverl\u00e4ssigkeit zu erwecken.<\/p>\n Einmal heruntergeladen, stehlen die b\u00f6sartigen Erweiterungen die Wallet-Anmeldeinformationen, die dann verwendet werden, um Kryptow\u00e4hrung zu stehlen. GreedyBear konnte nicht nur in etwas mehr als einem Monat 1 Million Dollar<\/strong> mit dieser Methode stehlen, sondern hat auch das Ausma\u00df ihrer Operationen erheblich erh\u00f6ht. Eine fr\u00fchere Kampagne, die zwischen April und Juli dieses Jahres aktiv war, umfasste lediglich 40 Erweiterungen<\/strong>.<\/p>\n Eine weitere Hauptangriffsmethode der Gruppe sind fast 500 b\u00f6sartige Windows-Ausf\u00fchrungsdateien<\/strong>, die sie auf russischen Websites platziert hat, die raubkopierte oder umverpackte Software vertreiben. Diese ausf\u00fchrbaren Dateien umfassen Credential Stealer<\/strong>, Ransomware-Software<\/strong> und Trojaner<\/strong>, was Koi Security als Hinweis auf \u201eeine breite Malware-Verteilungspipeline\u201c<\/strong> interpretiert.<\/p>\n Die Gruppe hat auch Dutzende von Phishing-Websites erstellt, die vorgeben, legitime krypto-bezogene Dienstleistungen anzubieten, wie digitale Wallets, Hardwareger\u00e4te oder Wallet-Reparaturdienste. GreedyBear nutzt diese Websites, um potenzielle Opfer dazu zu bringen, pers\u00f6nliche Daten und Wallet-Anmeldeinformationen einzugeben, die dann verwendet werden, um Gelder zu stehlen.<\/p>\n \u201eEs ist erw\u00e4hnenswert, dass die Firefox-Kampagne mehr globale und englischsprachige Opfer ins Visier nahm, w\u00e4hrend die b\u00f6sartigen ausf\u00fchrbaren Dateien mehr russischsprachige Opfer anvisierten\u201c, erkl\u00e4rt Idan Dardikman im Gespr\u00e4ch mit Decrypt.<\/p>\n<\/blockquote>\n Trotz der Vielzahl von Angriffsmethoden und -zielen berichtet Koi auch, dass \u201efast alle\u201c Angriffsdom\u00e4nen von GreedyBear auf eine einzige IP-Adresse verweisen: 185.208.156.66<\/strong>. Laut dem Bericht fungiert diese Adresse als zentrales Hub f\u00fcr Koordination und Sammlung, was es den Hackern von GreedyBear erm\u00f6glicht, \u201edie Operationen zu optimieren\u201c<\/strong>.<\/p>\n Dardikman erkl\u00e4rte, dass eine einzige IP-Adresse \u201eeine enge zentrale Kontrolle bedeutet\u201c<\/strong> und nicht ein verteiltes Netzwerk. \u201eDas deutet auf organisiertes Cybercrime hin, nicht auf staatliche Unterst\u00fctzung\u201c<\/strong>, f\u00fcgte er hinzu. \u201eWahrscheinlich handelt es sich um russische kriminelle Gruppen, die auf Gewinn aus sind, nicht auf staatliche Anweisung.\u201c<\/p>\n Dardikman sagte, dass GreedyBear wahrscheinlich seine Operationen fortsetzen wird, und gab mehrere Tipps, um ihre wachsende Reichweite zu vermeiden:<\/p>\n .\n<\/ul>\n \u201eGreedyBear erstellt gef\u00e4lschte Hardware-Wallet-Websites, um Zahlungsinformationen und Anmeldeinformationen zu stehlen\u201c<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":" Aktivit\u00e4ten der Hackergruppe GreedyBear Die russische Hackergruppe GreedyBear hat in den letzten Monaten ihre Aktivit\u00e4ten ausgeweitet und nutzt 150 \u201ebewaffnete Firefox-Erweiterungen\u201c, um internationale und englischsprachige Opfer ins Visier zu nehmen, wie die Forschung von Koi Security zeigt. In einem Blogbeitrag ver\u00f6ffentlichte Koi, mit Sitz in den USA und Israel, die Ergebnisse ihrer Untersuchung und berichtete, dass die Gruppe \u201eKrypto-Diebstahl im industriellen Ma\u00dfstab neu definiert\u201c hat. Methoden und Techniken GreedyBear verwendet 150 modifizierte Firefox-Erweiterungen, fast 500 b\u00f6sartige ausf\u00fchrbare Dateien und \u201eDutzende\u201c von Phishing-Websites, um in den letzten f\u00fcnf Wochen \u00fcber 1 Million Dollar zu stehlen. Im Gespr\u00e4ch mit Decrypt erkl\u00e4rte Koi-CTO<\/p>\n","protected":false},"author":3,"featured_media":7830,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[200,65,272,74,8044,482],"class_list":["post-7831","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-exodus","tag-hack","tag-metamask","tag-russia","tag-tronlink","tag-windows"],"yoast_description":"Die russische Hackergruppe GreedyBear nutzt gef\u00e4lschte Versionen von MetaMask, um \u00fcber 1 Million Dollar in Kryptow\u00e4hrung mit bewaffneten Firefox-Erweiterungen und Phishing-Websites zu stehlen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/7831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=7831"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/7831\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/7830"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=7831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=7831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=7831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Methoden und Techniken<\/h2>\n
Die Auswirkungen der Angriffe<\/h2>\n
Phishing-Websites und Zielgruppen<\/h2>\n
\n
Zentrale Koordination und Empfehlungen<\/h2>\n
\n