GreedyBearin Toiminta
Venäläinen hakkeriryhmä GreedyBear on laajentanut toimintaansa viime kuukausina, käyttäen 150 ”aseistettua Firefox-laajennusta” kansainvälisten ja englanninkielisten uhreiden kohdistamiseen, Koi Securityn tutkimuksen mukaan.
Kryptovarkaus ja Hyökkäysmenetelmät
Yhdysvalloissa ja Israelissa toimiva Koi julkaisi tutkimustuloksensa blogissaan ja raportoi, että ryhmä on ”uudelleen määritellyt teollisen mittakaavan kryptovarkauksen”, käyttäen lähes 500 haitallista suoritettavaa ja ”kymmeniä” phishing-verkkosivustoja varastaakseen yli 1 miljoona dollaria viimeisen viiden viikon aikana.
”Firefox-kampanja on kauas tuottoisin hyökkäysvektori, joka on tuottanut heille suurimman osan raportoitu 1 miljoonasta dollarista.” – Idan Dardikman, Koin CTO
Tämä erityinen temppu sisältää väärennettyjen versioiden luomisen laajasti ladatuista kryptolompakoista, kuten MetaMask, Exodus, Rabby Wallet ja TronLink.
Menetelmät ja Kohteet
GreedyBearin operatiiviset henkilöt käyttävät Extension Hollowing -menetelmää kiertääkseen markkinapaikan turvallisuusmenettelyt, lataamalla aluksi ei-haitallisia versioita laajennuksista, ennen kuin he päivittävät sovellukset haitallisella koodilla. He myös julkaisevat vääriä arvosteluja laajennuksista, antaen väärän vaikutelman luotettavuudesta.
Kun käyttäjät lataavat haitalliset laajennukset, ne varastavat lompakkotunnuksia, joita käytetään kryptovaluutan varastamiseen. GreedyBear on pystynyt varastamaan 1 miljoona dollaria vain hieman yli kuukaudessa tämän menetelmän avulla, mutta he ovat myös huomattavasti lisänneet toimintansa mittakaavaa.
Ryhmän toinen pääasiallinen hyökkäysmenetelmä sisältää lähes 500 haitallista Windows-suoritettavaa, joita on lisätty venäläisiin verkkosivustoihin, jotka jakavat piraattiohjelmistoa tai uudelleenpakattua ohjelmistoa.
Phishing ja Kohdistaminen
Tällaiset suoritettavat sisältävät tunnusten varastajia, kiristysohjelmistoa ja troijalaisia, mikä Koi Securityn mukaan viittaa ”laajaan haittaohjelmien jakeluputkeen”, joka pystyy muuttamaan taktiikkaansa tarpeen mukaan. Ryhmä on myös luonut kymmeniä phishing-verkkosivustoja, jotka teeskentelevät tarjoavansa laillisia kryptoon liittyviä palveluja.
”On syytä mainita, että Firefox-kampanja kohdisti enemmän globaaleihin/englanninkielisiin uhreihin, kun taas haitalliset suoritettavat kohdistuivat enemmän venäjänkielisiin uhreihin.” – Idan Dardikman
Keskeinen IP-osoite ja Järjestäytynyt Rikollisuus
Koi raportoi myös, että ”lähes kaikki” GreedyBearin hyökkäysalueet linkittävät takaisin yhteen IP-osoitteeseen: 185.208.156.66. Tämä osoite toimii keskeisenä keskuksena koordinoinnille ja keräykselle, mahdollistaen GreedyBearin hakkerien ”tehostaa toimintaansa”.
”Yksi IP-osoite tarkoittaa tiukkaa keskitettyä hallintaa eikä hajautettua verkkoa.” – Idan Dardikman
Suositukset Käyttäjille
Dardikman sanoi, että GreedyBear todennäköisesti jatkaa toimintaansa ja antoi useita vinkkejä heidän laajenevan vaikutusalueensa välttämiseksi:
- Asenna vain laajennuksia varmennetuista kehittäjistä, joilla on pitkä historia.
- Vältä piraattiohjelmistosivustoja.
- Käytä vain virallista lompakko-ohjelmistoa.
- Käytä laitteistolompakoita merkittävissä kryptovarannoissa. Osta vain virallisilta valmistajan verkkosivustoilta.
Dardikman varoitti, että GreedyBear luo vääriä laitteistolompakkosivustoja varastaakseen maksutietoja ja tunnuksia.
