Attività del Gruppo di Hacker GreedyBear
Negli ultimi mesi, il gruppo di hacker russo GreedyBear ha ampliato le sue operazioni, utilizzando 150 “estensioni Firefox malevole” per colpire vittime internazionali di lingua inglese, secondo una ricerca condotta da Koi Security.
Furto di Criptovalute su Scala Industriale
Pubblicando i risultati della sua indagine su un blog, Koi ha riportato che il gruppo ha “ridefinito il furto di criptovalute su scala industriale”, impiegando 150 estensioni Firefox malevole, quasi 500 eseguibili dannosi e “decine” di siti web di phishing per rubare oltre 1 milione di dollari nelle ultime cinque settimane.
“La campagna Firefox è di gran lunga il suo vettore d’attacco più redditizio, avendo guadagnato la maggior parte del milione di dollari riportato da solo.” – Idan Dardikman, CTO di Koi
Metodi di Attacco e Tecniche Utilizzate
Questo inganno specifico coinvolge la creazione di versioni false di portafogli crypto ampiamente scaricati, come MetaMask, Exodus, Rabby Wallet e TronLink. Gli operatori di GreedyBear utilizzano la tecnica dell’Extension Hollowing per eludere le misure di sicurezza del marketplace, caricando inizialmente versioni non dannose delle estensioni, prima di aggiornare le app con codice dannoso.
Pubblicano anche recensioni false delle estensioni, dando una falsa impressione di fiducia e affidabilità. Una volta scaricate, le estensioni dannose rubano le credenziali del portafoglio, che vengono poi utilizzate per sottrarre criptovalute.
Espansione delle Operazioni di GreedyBear
Non solo GreedyBear è riuscito a rubare 1 milione di dollari in poco più di un mese utilizzando questo metodo, ma ha anche notevolmente ampliato la scala delle sue operazioni, rispetto a una campagna precedente – attiva tra aprile e luglio di quest’anno – che coinvolgeva solo 40 estensioni.
Il principale metodo d’attacco del gruppo include anche quasi 500 eseguibili Windows dannosi, che sono stati aggiunti a siti web russi che distribuiscono software piratato o ripackato. Tali eseguibili comprendono rubatori di credenziali, software ransomware e trojan, suggerendo, secondo Koi Security, “una vasta pipeline di distribuzione di malware, capace di adattare le proprie tattiche secondo necessità.”
Siti Web di Phishing e Targeting delle Vittime
Il gruppo ha anche creato dozzine di siti web di phishing, che fingono di offrire servizi legittimi legati alle criptovalute, come portafogli digitali, dispositivi hardware o servizi di riparazione di portafogli. GreedyBear utilizza questi siti per indurre potenziali vittime a inserire dati personali e credenziali del portafoglio, che poi vengono utilizzati per rubare fondi.
“Vale la pena menzionare che la campagna Firefox ha preso di mira vittime più globali e di lingua inglese, mentre gli eseguibili dannosi hanno colpito principalmente vittime di lingua russa.” – Idan Dardikman
Controllo Centralizzato e Raccomandazioni di Sicurezza
Nonostante la varietà di metodi d’attacco e di obiettivi, Koi riporta che “quasi tutti” i domini di attacco di GreedyBear rimandano a un singolo indirizzo IP: 185.208.156.66. Questo indirizzo funge da hub centrale per il coordinamento e la raccolta, consentendo agli hacker di GreedyBear di “semplificare le operazioni.”
Dardikman ha affermato che un singolo indirizzo IP “significa un controllo centralizzato stretto” piuttosto che una rete distribuita, suggerendo crimine informatico organizzato piuttosto che sponsorizzazione statale.
Conclusioni e Suggerimenti per gli Utenti
Dardikman ha affermato che GreedyBear probabilmente continuerà le sue operazioni e ha offerto diversi suggerimenti per evitare la loro crescente portata:
- Installa solo estensioni da sviluppatori verificati con una lunga storia.
- Evita siti di software piratato.
- Utilizza solo software di portafoglio ufficiale, e non estensioni del browser.
- Usa portafogli hardware per significativi possedimenti in criptovalute, ma acquista solo dai siti ufficiali dei produttori.
GreedyBear crea siti falsi di portafogli hardware per rubare informazioni di pagamento e credenziali.
