GreedyBear: 40 neppe crypto wallet-extensies gevonden op Firefox Marketplace

Een geavanceerde en grootschalige cybercrimecampagne, genaamd GreedyBear, is aan het licht gekomen, waarbij minstens een miljoen dollar werd gestolen van gebruikers van cryptovaluta. Het onderzoek, uitgevoerd door cybersecuritybedrijf Koi Security en gedeeld met Hackread.com, onthult een zeer georganiseerde operatie die veel verder gaat dan typische online oplichting .

In plaats van zich te concentreren op één type aanval, gebruiken de criminelen achter GreedyBear een gecoördineerde mix van kwaadaardige browserextensies , schadelijke software en nepwebsites. Deze strategie stelt hen in staat om vanuit meerdere hoeken tegelijk aan te vallen, wat hun operatie ongelooflijk effectief maakt.

GreedyBear opereert vooral via kwaadaardige browserextensies. De groep heeft meer dan 150 nep-extensies voor de Firefox-marktplaats gemaakt, die zich voordoen als populaire cryptowallets zoals MetaMask, TronLink, Exodus en Rabby Wallet.

Exodus Wallet-risicorapport van Koidex-risico-engine (Bron: Koi Security)

De aanvallers gebruiken een slimme truc genaamd "Extension Hollowing" om beveiligingscontroles te omzeilen. Eerst uploaden ze onschadelijke extensies en, nadat ze geloofwaardigheid hebben opgebouwd met nep-positieve reviews, hollen ze de extensies uit door hun namen en pictogrammen te wijzigen en schadelijke code te injecteren, terwijl de geschiedenis van de positieve reviews behouden blijft.

De tweede methode omvat bijna 500 schadelijke programma's, of uitvoerbare bestanden, die te vinden zijn op sites die illegale software aanbieden. Deze schadelijke programma's omvatten inloggegevensdieven , die zijn ontworpen om uw inloggegevens te stelen, en ransomware, die uw bestanden blokkeert en een betaling eist. De verscheidenheid aan deze tools laat zien dat de groep niet slechts één truc uithaalt, maar een breed scala aan methoden gebruikt om slachtoffers te bereiken.

Ten derde heeft de groep tientallen nepwebsites opgezet die eruitzien als legitieme cryptodiensten of wallet-reparatietools. Deze sites zijn ontworpen om gebruikers te misleiden zodat ze persoonlijke informatie en walletgegevens invoeren.

Een belangrijk detail dat het onderzoek van Koi Security aan het licht heeft gebracht, is dat al deze aanvallen, de nep-extensies, de malware en de frauduleuze websites allemaal verbonden zijn met één centrale server ( 185.208.156.66 ). Deze centrale hub stelt aanvallers in staat hun grootschalige operaties zeer efficiënt te beheren.

Onderzoekers merken op dat deze campagne, die begon als een kleinschalig initiatief met de naam Foxy Wallet, inmiddels is uitgegroeid tot een grote bedreiging voor meerdere platforms. Er zijn aanwijzingen dat de aanval zich binnenkort ook zal uitbreiden naar andere browsers, zoals Chrome en Edge.

Verbindingsgrafiek voor 185.208.156.66 (Bron: Koi Security)

Onderzoekers merkten ook op dat dit soort grootschalige, geautomatiseerde criminaliteit waarschijnlijk mogelijk wordt gemaakt door nieuwe AI-tools, waardoor criminelen sneller en gemakkelijker dan ooit aanvallen kunnen uitvoeren. Deze nieuwe realiteit betekent dat het vertrouwen op oude beveiligingsmethoden niet langer voldoende is om online veilig te blijven.