Grupos de hackers russos estão usando versões falsas de metamask para roubar US $ 1 milhão com crypto

De acordo com uma pesquisa da Koi Security, o grupo de hackers russo GreedyBear expandiu seus negócios nos últimos meses usando 150 “extensões de Firefox de 150 armas para atingir vítimas internacionais e de língua inglesa.

Os resultados do estudo são blogados, com sede nos EUA e Israel Koi relatou O grupo “redefiniu o roubo de crypto em escala industrial” usando 150 extensões de Firefox armas, quase 500 executáveis maliciosos e “dezenas” de sites de phishing para roubar mais de US $ 1 milhão nas últimas cinco semanas.

Vou falar DescryptoO Koi CTO Idan Dardikman disse que a campanha do Firefox é “muito mais” o vetor de ataque mais lucrativo, com “a maioria dos US $ 1 milhão sendo relatada naturalmente”.

Esse truque em particular envolve a criação de versões falsas de carteiras criptográficas amplamente baixadas, como Metamask, Êxodo, carteira laby e TronLink.

Os agentes gananciosos usam o Hollow Extended para ignorar as medidas de segurança do mercado antes de atualizar o aplicativo com código malicioso para ignorar as medidas de segurança do mercado e fazer o upload de versões não maliciosas da extensão.

Eles também publicam críticas falsas de extensões, dando a falsa impressão de confiança e confiabilidade.

No entanto, uma vez baixados, extensões maliciosas são usadas para roubar credenciais e crypto da carteira

Não apenas a GreedyBear foi capaz de roubar US $ 1 milhão por mais de um mês usando esse método, mas também aumentou significativamente seu tamanho de negócios em sua campanha anterior.Ativo entre abril e julho deste ano– Apenas 40 extensões serão adicionadas.

Outros métodos importantes de ataque para o grupo incluem cerca de 500 executáveis maliciosos do Windows, que foram adicionados a sites russos que distribuem piratas ou software reembalado.

Tais executáveis incluem credenciais roubadas, software de ransomware e cavalos de Trojan. Isso sugere que a segurança Koi representa um “amplo pipeline de entrega de malware que permite alterar as táticas quando necessário”.

O grupo também criou dezenas de sites de phishing. Ele finge fornecer serviços legítimos relacionados a crypto, como carteiras digitais, dispositivos de hardware e serviços de reparo de carteira.

A GreedyBear usa esses sites para compartilhar vítimas em potencial, inserir dados pessoais e credenciais da carteira e usá -los para roubar fundos.

“Vale a pena mencionar que, embora a campanha do Firefox atinja mais vítimas globais/de língua inglesa, o executável malicioso tem como alvo mais vítimas de língua russa”, explica Idan Dardikman. Descrypto.

Apesar dos vários métodos e metas de ataque, a KOI relata que “quase todos” domínios de ataque gananciosos vinculam -se a 185.208.156.66, onde eles se vinculam a um único endereço IP.

Segundo o relatório, o endereço serve como um centro central de coordenação e coleção, permitindo que hackers gananciosos “racionalizem operações”.

Dardikman disse que um único endereço IP “significa controle centralizado rigoroso” em vez de uma rede distribuída.

“Isso sugere que o cibercrime organizado, em vez de o patrocínio do estado. Operações do governo geralmente sugerem o uso de infraestrutura distribuída para evitar um único ponto de falha”, acrescentou. “Talvez os grupos criminais russos que operam com fins lucrativos, não para a direção do estado”.

Dardikman disse que é provável que o GreedyBear continue as operações e forneça algumas dicas para evitar a expansão do alcance.

“Somente instalamos extensões de desenvolvedores verificados com uma longa história”, disse ele, acrescentando que os usuários devem sempre evitar sites de software pirateados.

Ele também recomendou que você usasse apenas o software oficial da carteira, não as extensões do navegador.

Ele afirma: “Utilizamos carteiras de hardware para importantes participações de crypto, mas apenas compras do site oficial do fabricante. Greedybear cria sites falsos de carteira de hardware para roubar informações e qualificações de pagamento”.