Nhóm hacker Nga GreedyBear đã mở rộng hoạt động của mình trong những tháng gần đây, sử dụng 150 “tiện ích mở rộng Firefox có tính năng độc hại” để nhắm mục tiêu vào các nạn nhân quốc tế và nói tiếng Anh, theo nghiên cứu từ Koi Security.
Công bố kết quả nghiên cứu của mình trên một blog, Koi có trụ sở tại Mỹ và Israel cho biết nhóm này đã “định nghĩa lại việc đánh cắp tiền mã hóa quy mô công nghiệp,” sử dụng 150 tiện ích mở rộng Firefox độc hại, gần 500 tệp thực thi độc hại và “các” trang web lừa đảo để đánh cắp hơn 1 triệu đô la trong vòng 5 tuần qua.
Nói với Decrypt, CTO của Koi, Idan Dardikman cho biết chiến dịch Firefox này là “một cách tấn công” sinh lợi nhất của họ, đã “giúp họ thu được hầu hết trong số 1 triệu đô la mà họ báo cáo.”
Mưu đồ cụ thể này liên quan đến việc tạo ra các phiên bản giả mạo của các ví tiền mã hóa được tải xuống nhiều như MetaMask, Exodus, Rabby Wallet và TronLink.
Các tác nhân của GreedyBear sử dụng Extension Hollowing để vượt qua các biện pháp an ninh của thị trường, ban đầu tải lên các phiên bản không độc hại của th
e extensions, trước khi cập nhật các ứng dụng với mã độc.
Họ cũng đăng các đánh giá giả về các tiện ích mở rộng, tạo ra ấn tượng sai về sự tin cậy và độ đáng tin cậy.
Nhưng một khi đã được tải xuống, các tiện ích mở rộng độc hại sẽ đánh cắp thông tin ví, mà sau đó được sử dụng để đánh cắp tiền điện tử.
Không chỉ GreedyBear đã có thể đánh cắp 1 triệu đô la chỉ trong hơn một tháng bằng cách này, mà họ còn tăng cường quy mô hoạt động của mình, với một chiến dịch trước đó – diễn ra từ tháng Tư đến tháng Bảy năm nay – chỉ liên quan đến 40 tiện ích mở rộng.
Phương pháp tấn công chính khác của nhóm này liên quan đến gần 500 tệp thực thi Windows độc hại, mà họ đã thêm vào các trang web của Nga phân phối phần mềm bị vi phạm bản quyền hoặc được đóng gói lại.
Các tệp thực thi này bao gồm phần mềm đánh cắp thông tin, phần mềm mã độc tống tiền và trojan, mà Koi Security gợi ý cho thấy “một hệ thống phân phối mã độc rộng lớn, có khả năng thay đổi chiến thuật khi cần thiết.”
Nhóm này cũng đã tạo ra hàng chục trang web lừa đảo, giả vờ cung cấp tiền điện tử hợp pháp.
các dịch vụ liên quan, chẳng hạn như ví điện tử, thiết bị phần cứng hoặc dịch vụ sửa chữa ví.
GreedyBear sử dụng những trang web này để dụ dỗ các nạn nhân tiềm năng nhập dữ liệu cá nhân và thông tin tài khoản ví, mà sau đó chúng sử dụng để đánh cắp tiền.
“Đáng lưu ý rằng chiến dịch Firefox nhắm vào các nạn nhân trên toàn cầu/nói tiếng Anh nhiều hơn, trong khi các tệp thực thi độc hại nhắm vào các nạn nhân nói tiếng Nga nhiều hơn,” Idan Dardikman giải thích, nói chuyện với Decrypt.
Mặc dù có sự đa dạng về phương pháp tấn công và mục tiêu, Koi cũng báo cáo rằng “hầu như tất cả” các miền tấn công của GreedyBear đều liên quan đến một địa chỉ IP duy nhất: 185.208.156.66.
Theo báo cáo, địa chỉ này hoạt động như một trung tâm chính để phối hợp và thu thập, cho phép các hacker GreedyBear “tinh gọn hoạt động.”
Dardikman cho biết rằng một địa chỉ IP duy nhất “có nghĩa là kiểm soát tập trung chặt chẽ” thay vì một mạng lưới phân tán.
“Điều này cho thấy tội phạm mạng có tổ chức hơn là tài trợ từ nhà nước – các hoạt động của chính phủ thường sử dụng mạng lưới phân tán.”
“Cơ sở hạ tầng để tránh các điểm thất bại đơn lẻ,” ông thêm vào. “Có khả năng các nhóm tội phạm Nga hoạt động vì lợi nhuận, không phải theo sự chỉ đạo của nhà nước.”
Dardikman cho biết GreedyBear có khả năng sẽ tiếp tục các hoạt động của mình và đã đưa ra một số mẹo để tránh sự tiếp cận ngày càng mở rộng của họ.
“Chỉ cài đặt các tiện ích mở rộng từ các nhà phát triển đã được xác minh với lịch sử lâu dài,” ông nói thêm rằng người dùng nên luôn tránh các trang web phần mềm lậu.
Ông cũng khuyến nghị chỉ sử dụng phần mềm ví chính thức, không phải các tiện ích mở rộng của trình duyệt, mặc dù ông khuyên nên từ bỏ các ví phần mềm nếu bạn là một nhà đầu tư dài hạn nghiêm túc.
Ông nói, “Sử dụng ví phần cứng cho các khoản nắm giữ tiền điện tử đáng kể, nhưng chỉ mua từ các trang web của nhà sản xuất chính thức – GreedyBear tạo ra các trang web ví phần cứng giả để đánh cắp thông tin thanh toán và tài khoản.”
Bình luận (0)