Nhóm tin tặc Nga 'GreedyBear' đã bị phát hiện chiếm đoạt 1 triệu đô la (khoảng 1,3 tỷ won) chỉ trong vòng 5 tuần bằng cách sử dụng tiện ích mở rộng ví tiền điện tử giả mạo. Theo báo cáo được công ty an ninh mạng Coysecurity công bố vào ngày 11 (giờ địa phương), nhóm này đã vận hành 150 tiện ích mở rộng Firefox độc hại và phân phối các ví tiền điện tử chính như MetaMask, Exodus, Rabby Wallet.
Đặc biệt, kỹ thuật 'Extension Hollowing' mà họ sử dụng là điều đáng chú ý. Ban đầu, họ tải lên các tiện ích mở rộng bình thường trên cửa hàng trình duyệt, sau đó cập nhật thành mã độc để né tránh xác minh bảo mật. Họ còn viết các đánh giá giả để tăng độ tin cậy.
So với chiến dịch trước đó từ tháng 4 đến 7, GreedyBear đã mở rộng quy mô đáng kể từ 40 tiện ích mở rộng lên 150 tiện ích. Ngoài các tiện ích mở rộng trình duyệt, nhóm này còn thực hiện các cuộc tấn công đa chiều thông qua hơn 500 tệp thực thi độc hại và hàng chục trang web lừa đảo.
Thú vị là tất cả các tên miền tấn công đều được kết nối với một địa chỉ IP duy nhất (185.208.156.66), cho thấy cấu trúc vận hành tập trung. Các chuyên gia phân tích đây là tội phạm có tổ chức nhằm mục đích kiếm lợi nhuận chứ không phải hoạt động được hỗ trợ bởi quốc gia.
Darren Darby, Giám đốc Công nghệ của Coysecurity, cảnh báo: "Chiến dịch Firefox chủ yếu nhắm đến người dùng nói tiếng Anh, nhưng các nhà đầu tư Hàn Quốc sử dụng các nền tảng DeFi toàn cầu cũng có thể trở thành mục tiêu".
Các chuyên gia khuyến nghị chỉ cài đặt các tiện ích mở rộng của các nhà phát triển đã được xác minh và sử dụng ví phần cứng khi sở hữu số lượng lớn tài sản. Họ cũng nhấn mạnh việc chỉ nên mua ví phần cứng từ trang web chính thức của nhà sản xuất, bởi vì GreedyBear thậm chí đã làm giả các trang web bán ví phần cứng.
