Operaciones del Grupo de Hackers GreedyBear
El grupo de hackers ruso GreedyBear ha ampliado sus operaciones en los últimos meses, utilizando 150 «extensiones de Firefox maliciosas» para atacar a víctimas internacionales de habla inglesa, según una investigación de Koi Security. Publicando los resultados de su investigación en un blog, Koi, con sede en EE. UU. e Israel, informó que el grupo ha «redefinido el robo de criptomonedas a escala industrial», utilizando 150 extensiones de Firefox maliciosas, cerca de 500 ejecutables dañinos y «docenas» de sitios web de phishing para robar más de $1 millón en las últimas cinco semanas.
Métodos de Ataque
Hablando con Decrypt, el CTO de Koi, Idan Dardikman, afirmó que la campaña de Firefox es «con mucho» su vector de ataque más lucrativo, habiendo «ganado la mayor parte del millón de dólares reportado por sí mismo». Este engaño particular implica la creación de versiones falsas de billeteras de criptomonedas ampliamente descargadas, como MetaMask, Exodus, Rabby Wallet y TronLink.
Los operativos de GreedyBear utilizan una técnica conocida como Extension Hollowing para eludir las medidas de seguridad del mercado, subiendo inicialmente versiones no maliciosas de las extensiones, antes de actualizar las aplicaciones con código malicioso. Además, publican reseñas falsas de las extensiones, dando una falsa impresión de confianza y fiabilidad. Una vez descargadas, las extensiones maliciosas roban las credenciales de las billeteras, que luego se utilizan para sustraer criptomonedas.
No solo GreedyBear ha logrado robar $1 millón en poco más de un mes utilizando este método, sino que también han ampliado enormemente la escala de sus operaciones, en comparación con una campaña anterior, activa entre abril y julio de este año, que involucraba solo 40 extensiones.
El otro método principal de ataque del grupo implica casi 500 ejecutables maliciosos de Windows, que han sido añadidos a sitios web rusos que distribuyen software pirateado o reempaquetado. Dichos ejecutables incluyen robadores de credenciales, software de ransomware y troyanos, lo que Koi Security sugiere indica «una amplia tubería de distribución de malware, capaz de cambiar de tácticas según sea necesario».
Sitios de Phishing y Objetivos
El grupo también ha creado docenas de sitios web de phishing que pretenden ofrecer servicios legítimos relacionados con criptomonedas, como billeteras digitales, dispositivos de hardware o servicios de reparación de billeteras. GreedyBear utiliza estos sitios web para persuadir a las posibles víctimas a ingresar datos personales y credenciales de billeteras, que luego son utilizados para robar fondos.
«Vale la pena mencionar que la campaña de Firefox apuntó a víctimas más globales y de habla inglesa, mientras que los ejecutables maliciosos se dirigieron a víctimas de habla rusa»
explica Idan Dardikman en su conversación con Decrypt. A pesar de la variedad de métodos de ataque y de objetivos, Koi también informa que «casi todos» los dominios de ataque de GreedyBear se vinculan a una sola dirección IP: 185.208.156.66. Según el informe, esta dirección funciona como un centro central para la coordinación y recolección, permitiendo a los hackers de GreedyBear «optimizar sus operaciones».
Dardikman señaló que una sola dirección IP «significa un control centralizado estricto» en lugar de una red distribuida. «Esto sugiere cibercriminalidad organizada en lugar de patrocinio estatal; las operaciones gubernamentales típicamente utilizan infraestructura distribuida para evitar puntos únicos de falla», agregó. «Probablemente se trate de grupos criminales rusos operando por lucro, no por dirección estatal».
Consejos de Seguridad
Dardikman anticipó que GreedyBear probablemente continuará sus operaciones y ofreció varios consejos para evitar su alcance en expansión.
«Solo instale extensiones de desarrolladores verificados con un historial sólido»
, dijo, añadiendo que los usuarios siempre deben evitar sitios de software pirateado. También recomendó usar solo software de billetera oficial y no extensiones de navegador, aunque aconsejó alejarse de las billeteras de software si eres un inversor serio a largo plazo.
Dijo:
«Utilice billeteras de hardware para tenencias significativas de criptomonedas, pero compre solo en sitios web de fabricantes oficiales; GreedyBear crea sitios falsos de billeteras de hardware para robar información de pago y credenciales»
.
