Увеличение операций хакерской группы GreedyBear
Российская хакерская группа GreedyBear значительно увеличила свои операции в последние месяцы, используя 150 «вооруженных расширений Firefox» для атак на международные и англоязычные жертвы, согласно исследованию Koi Security.
Методы атаки и кража криптовалюты
В своем блоге Koi, базирующаяся в США и Израиле, сообщила, что группа «переопределила кражу криптовалюты в промышленных масштабах», используя 150 вредоносных расширений Firefox, почти 500 вредоносных исполняемых файлов и «десятки» фишинговых сайтов для кражи более $1 миллиона за последние пять недель.
Технический директор Koi Идан Дардикман отметил, что кампания с использованием Firefox является «безусловно» самым прибыльным вектором атаки, который «принес им большую часть из $1 миллиона, о котором сообщается».
Этот метод включает создание поддельных версий широко загружаемых криптокошельков, таких как MetaMask, Exodus, Rabby Wallet и TronLink. Оперативники GreedyBear используют метод Extension Hollowing для обхода мер безопасности на рынках, первоначально загружая не вредоносные версии расширений, а затем обновляя их вредоносным кодом.
После загрузки вредоносные расширения крадут учетные данные кошелька, которые затем используются для кражи криптовалюты. GreedyBear смогла украсть $1 миллион всего за чуть более месяца, значительно увеличив масштаб своих операций, в то время как предыдущая кампания, активная с апреля по июль этого года, включала всего 40 расширений.
Другие методы и фишинговые сайты
Другой основной метод атаки группы включает почти 500 вредоносных исполняемых файлов Windows, которые она добавила на российские сайты, распространяющие пиратское или перепакованное программное обеспечение. Эти исполняемые файлы могут красть учетные данные, содержать программное обеспечение-вымогатели и трояны, что, по мнению Koi Security, указывает на «широкую цепочку распространения вредоносного ПО, способную менять тактики по мере необходимости».
Группа также создала десятки фишинговых сайтов, которые притворяются легитимными крипто-сервисами, такими как цифровые кошельки, аппаратные устройства или услуги по ремонту кошельков. GreedyBear использует эти сайты, чтобы заставить потенциальные жертвы вводить личные данные и учетные данные кошелька, которые затем используются для кражи средств.
«Стоит отметить, что кампания с использованием Firefox нацеливалась на более глобальные/англоязычные жертвы, в то время как вредоносные исполняемые файлы нацеливались на более русскоязычных жертв», объясняет Идан Дардикман в разговоре с Decrypt.
Централизованный контроль и рекомендации
Несмотря на разнообразие методов атак и целей, Koi также сообщает, что «почти все» домены атак GreedyBear ссылаются на один и тот же IP-адрес: 185.208.156.66. Согласно отчету, этот адрес функционирует как центральный узел для координации и сбора, позволяя хакерам GreedyBear «оптимизировать операции».
Дардикман отметил, что один IP-адрес «означает жесткий централизованный контроль», а не распределенную сеть. «Это указывает на организованную киберпреступность, а не на государственное спонсорство – правительственные операции обычно используют распределенную инфраструктуру, чтобы избежать единой точки отказа», добавил он.
Дардикман также предположил, что GreedyBear, вероятно, продолжит свои операции, и предложил несколько советов по избежанию их расширяющегося влияния:
- Устанавливайте расширения только от проверенных разработчиков с долгой историей.
- Избегайте сайтов с пиратским программным обеспечением.
- Используйте только официальное программное обеспечение для кошельков, а не расширения браузера.
- Используйте аппаратные кошельки для значительных крипто-хранений, но покупайте только с официальных сайтов производителей.
GreedyBear создает поддельные сайты аппаратных кошельков, чтобы украсть платежную информацию и учетные данные.
