Nhóm hacker Nga GreedyBear đã mở rộng hoạt động của mình trong những tháng gần đây, sử dụng 150 "tiện ích mở rộng Firefox được vũ khí hóa" để nhắm mục tiêu vào các nạn nhân quốc tế và nói tiếng Anh, theo nghiên cứu của Koi Security.
Công bố kết quả nghiên cứu trên blog, Koi - có trụ sở tại Mỹ và Israel - đãbáo cáo rằng nhóm này đã "định nghĩa lại việc đánh cắp tiền điện tử quy mô công nghiệp", sử dụng 150 tiện ích mở rộng Firefox được vũ khí hóa, gần 500 tệp thực thi độc hại và "hàng chục" trang web lừa đảo để đánh cắp hơn 1 triệu đô la trong năm tuần qua.
Trò chuyện với Decrypt, Giám đốc Kỹ thuật Idan Dardikman cho biết chiến dịch Firefox là "xa nhất" trong số các vector tấn công có lợi nhuận, đã "giúp họ kiếm được phần lớn số 1 triệu đô la được báo cáo".
Thủ đoạn cụ thể này liên quan đến việc tạo ra các phiên bản giả của các ví tiền điện tử được tải xuống rộng rãi như MetaMask, Exodus, Rabby Wallet và TronLink.
Các điệp viên GreedyBear sử dụng Extension Hollowing để vượt qua các biện pháp bảo mật của marketplace, ban đầu tải lên các phiên bản không độc hại của các tiện ích mở rộng, sau đó cập nhật các ứng dụng bằng mã độc.
Họ cũng đăng các đánh giá giả về các tiện ích mở rộng, tạo ấn tượng sai lệch về sự tin cậy và độ tin cậy.
Nhưng một khi được tải xuống, các tiện ích mở rộng độc hại sẽ đánh cắp thông tin đăng nhập ví, sau đó được sử dụng để đánh cắp tiền điện tử
Không chỉ GreedyBear đã có thể đánh cắp 1 triệu đô la chỉ trong hơn một tháng bằng phương pháp này, mà họ còn đã mở rộng quy mô hoạt động của mình, với một chiến dịch trước đây -hoạt động giữa tháng 4 và tháng 7 năm nay - chỉ liên quan đến 40 tiện ích mở rộng.
Phương thức tấn công chính khác của nhóm này liên quan đến gần 500 tệp thực thi Windows độc hại, mà họ đã thêm vào các trang web Nga phân phối phần mềm bị crack hoặc đóng gói lại.
Các tệp thực thi như vậy bao gồm các trình đánh cắp thông tin đăng nhập, phần mềm mã độc tống tiền và trojan, mà Koi Security cho rằng cho thấy "một đường ống phân phối mã độc rộng, có khả năng thay đổi chiến thuật khi cần thiết".
Nhóm này cũng đã tạo ra hàng chục trang web lừa đảo, giả vờ cung cấp các dịch vụ liên quan đến tiền điện tử hợp pháp, chẳng hạn như ví kỹ thuật số, thiết bị phần cứng hoặc dịch vụ sửa chữa ví.
GreedyBear sử dụng các trang web này để dụ dỗ các nạn nhân tiềm năng nhập dữ liệu cá nhân và thông tin đăng nhập ví, sau đó sử dụng để đánh cắp tiền.
"Cần lưu ý rằng chiến dịch Firefox nhắm mục tiêu vào các nạn nhân toàn cầu/nói tiếng Anh, trong khi các tệp thực thi độc hại nhắm mục tiêu vào các nạn nhân nói tiếng Nga hơn," Idan Dardikman giải thích với Decrypt.
Mặc dù có nhiều phương thức tấn công và mục tiêu khác nhau, nhưng Koi cũng báo cáo rằng "hầu như tất cả" các tên miền tấn công của GreedyBear đều liên kết với một địa chỉ IP duy nhất: 185.208.156.66.
Theo báo cáo, địa chỉ này hoạt động như một trung tâm điều phối và thu thập, cho phép các hacker GreedyBear "hợp lý hóa các hoạt động".
Dardikman cho biết một địa chỉ IP duy nhất có nghĩa là "kiểm soát tập trung chặt chẽ" thay vì một mạng lưới phân tán.
"Điều này cho thấy tội phạm mạng có tổ chức hơn là do nhà nước bảo trợ - các hoạt động của chính phủ thường sử dụng cơ sở hạ tầng phân tán để tránh các điểm lỗi duy nhất," ông nói thêm. "Có khả năng là các nhóm tội phạm Nga hoạt động vì lợi nhuận, không phải do chỉ đạo của nhà nước."
Dardikman cho rằng GreedyBear có khả năng sẽ tiếp tục các hoạt động của mình và đưa ra một số lời khuyên để tránh phạm vi mở rộng của họ.
"Chỉ cài đặt các tiện ích mở rộng từ các nhà phát triển đã được xác minh với lịch sử dài," ông nói, đồng thời thêm rằng người dùng nên tránh các trang web phần mềm bị crack.
Ông cũng khuyến nghị chỉ sử dụng phần mềm ví chính thức, không phải các tiện ích mở rộng trình duyệt, mặc dù ông khuyên nên chuyển khỏi các ví phần mềm nếu bạn là một nhà đầu tư dài hạn nghiêm túc.
Ông nói: "Sử dụng ví phần cứng cho các khoản tiền điện tử đáng kể, nhưng chỉ mua từ các trang web của nhà sản xuất chính thức - GreedyBear tạo ra các trang web ví phần cứng giả để đánh cắp thông tin thanh toán và thông tin đăng nhập."
