Um grupo de hackers russo está usando versões falsas de metamask para roubar US $ 1 milhão em criptografia

O grupo de hackers russo GreedyBear aumentou suas operações nos últimos meses, usando 150 “extensões de Firefox armas” para segmentar vítimas internacionais e de língua inglesa, de acordo com pesquisas da Koi Security.

Publicando os resultados de sua pesquisa em um blog, nós e baseados em Israel Koi relatou O fato de o grupo “redefinir o roubo de criptografia em escala industrial”, usando 150 extensões de Firefox em armas, perto de 500 executáveis maliciosos e “dezenas” de sites de phishing para roubar mais de US $ 1 milhão nas últimas cinco semanas.

Conversando com DescriptografarKoi CTO Idan Dardikman disse que a campanha do Firefox é “de longe” seu vetor de ataque mais lucrativo, tendo “ganhando a maior parte dos US $ 1 milhão relatado por si mesmo”.

Essa manobra em particular envolve a criação de versões falsas de carteiras criptográficas amplamente baixadas, como Metamask, Exodus, Rabby Wallet e TronLink.

Os agentes gananciosos usam a extensão oco para ignorar as medidas de segurança do mercado, enviando inicialmente versões não maliciosas das extensões, antes de atualizar os aplicativos com código malicioso.

Eles também publicam críticas falsas das extensões, dando a falsa impressão de confiança e confiabilidade.

Mas uma vez baixado, as extensões maliciosas roubam credenciais da carteira, que por sua vez são usadas para roubar criptografia

Não apenas foi capaz de roubar US $ 1 milhão em pouco mais de um mês usando esse método, mas eles aumentaram bastante a escala de suas operações, com uma campanha anterior –ativo entre abril e julho deste ano–Volvendo apenas 40 extensões.

O outro método de ataque primário do grupo envolve quase 500 executáveis maliciosos do Windows, que ele adicionou a sites russos que distribuem software pirateado ou reembalado.

Tais executáveis incluem ladrões de credenciais, software de ransomware e Trojans, que a segurança da KOI sugere indica “um amplo pipeline de distribuição de malware, capaz de mudar táticas conforme necessário”.

O grupo também criou dezenas de sites de phishing, que fingem oferecer serviços legítimos relacionados a criptografia, como carteiras digitais, dispositivos de hardware ou serviços de reparo de carteira.

O GreedyBear usa esses sites para convencer as vítimas em potencial a entrar em dados pessoais e credenciais de carteira, que então usa para roubar fundos.

“Vale ressaltar que a campanha do Firefox direcionou mais vítimas globais/de língua inglesa, enquanto os executáveis maliciosos direcionaram mais vítimas de língua russa”, explica Idan Dardikman, falando com a Descriptografar.

Apesar da variedade de métodos de ataque e dos alvos, o KOI também relata que “quase todos” domínios de ataque gananciosos do GreedyBear ligam a um único endereço IP: 185.208.156.66.

Segundo o relatório, esse endereço funciona como um hub central para coordenação e coleção, permitindo que hackers gananciosos “otimizem as operações”.

Dardikman disse que um único endereço IP “significa controle centralizado apertado” em vez de uma rede distribuída.

“Isso sugere que o cibercrime organizado, em vez de as operações de governo de patrocínio estatal, normalmente usam infraestrutura distribuída para evitar pontos únicos de falha”, acrescentou. “Provavelmente grupos criminais russos que operam com lucro, não a direção do estado.”

Dardikman disse que é provável que o GreedyBear continue suas operações e ofereça várias dicas para evitar seu alcance em expansão.

“Somente instale extensões de desenvolvedores verificados com histórias longas”, disse ele, acrescentando que os usuários devem sempre evitar sites de software pirateados.

Ele também recomendou o uso apenas de software oficial da carteira, e não as extensões do navegador, embora tenha aconselhado se afastar das carteiras de software se você for um investidor sério de longo prazo.

Ele disse: “Use carteiras de hardware para holdings de criptografia significativas, mas compra apenas de sites oficiais do fabricante – a GereedyBear cria sites de carteira de hardware falsos para roubar informações e credenciais de pagamento”.