Kelompok penipu GreedyBear telah mencuri lebih dari 1 juta dolar dalam cryptocurrency melalui kampanye serangan yang terkoordinasi.
Koi Security melaporkan bahwa kelompok tersebut meluncurkan 150 ekstensi Firefox yang diubah menjadi senjata tambahan serta 500 eksekusi berbahaya. Operasi ini menggunakan ekstensi dompet palsu, situs phishing, dan malware untuk menargetkankriptopengguna di berbagai platform.
Penipuan ekstensi Firefox menargetkan dompet kripto populer
Penipuan GreedyBear meluncurkan lebih dari 150 ekstensi berbahaya di toko Firefox yang menargetkan pengguna kripto. Ekstensi berbahaya ini meniru dompet populer sepertiMetaMask, TronLink, Exodus, dan Rabby Wallet. Ekstensi-ekstensi ini menyalin antarmuka dompet sah untuk mencuri kredensial pengguna saat pengguna mencoba masuk.
Pembuat perangkat lunak jahat awalnya membuat ekstensi yang terlihat asli seperti pembersih tautan dan pengunduh YouTube dengan fungsi terbatas. Dengan daftar 5-7 utilitas umum dengan nama penerbit baru, mereka biasanya membangun kredibilitas dalam jangka panjang.
Sekali para pelaku kejahatan telah membangun kepercayaan melalui ulasan positif yang asli, mereka mengosongkan ekstensi ini sepenuhnya. Mereka mengubah nama, ikon, dan menyisipkan kode berbahaya tetapi mempertahankan sejarah ulasan positif asli. Metode ini memungkinkan ekstensi berbahaya terlihat dapat dipercaya bagi pengguna baru yang menjelajahi pasar.
Ekstensi bekerja sebagai alat untuk mendapatkan kredensial dompet dari bidang masukan di jendela pop-up mereka. Informasi yang dicuri dikirim ke server jarak jauh yang dikendalikan oleh kelompok kriminal untuk dimanfaatkan pada waktunya. Ekstensi juga mengirim alamat IP korban saat startup untuk pelacakan.
Tindakan ini merupakan tindak lanjut dari aktivitas Foxy Wallet sebelumnya yang mengidentifikasi 40 ekstensi berbahaya. Lingkupnya kini telah meningkat lebih dari dua kali lipat dari kasus awal. Laporan pengguna memastikan korban kehilangan nilai kripto yang signifikan dengan menggunakan ekstensi dompet palsu tersebut selama berbagai interval.
Serangan multi-platform menggabungkan malware dan situs web penipuan
GreedyBearpenipuanmenjalankan hampir 500 eksekusi Windows yang bersifat jahat bersama kampanye ekstensi peramban mereka. Program-program ini menyebar melalui situs web Rusia yang mendistribusikan perangkat lunak yang di-crack dan bajakan kepada pengguna yang tidak curiga. Kumpulan malware ini mencakup berbagai kategori ancaman untuk memaksimalkan potensi kerusakan.
Pencuri kredensial seperti LummaStealer menargetkan informasi dompet kripto yang disimpan di komputer korban. Variasi ransomware mengenkripsi file pengguna dan meminta pembayaran berupa kripto untuk kunci dekripsi. Trojan umum memberikan akses backdoor untuk pengiriman payload tambahan ketika diperlukan.
Kelompok ini juga mempertahankan infrastruktur situs layanan kripto penipu untuk pencurian data. Situs penipuan ini adalah layanan kripto yang terlihat sah dan bukan halaman phishing biasa. Dompet perangkat keras dengan merek Jupiter juga berisi tampilan palsu yang dimodifikasi untuk menipu pembeli potensial agar mengungkapkan detail pembayaran.
Contoh lain yang disebutkan dalam laporan tersebut adalah situs web perbaikan dompet yang mengklaim memperbaiki produk Trezor yang rusak bagi pelanggan yang frustrasi. Situs-situs palsu ini mengumpulkan kata kunci pemulihan dompet dan kunci pribadi sambil berpura-pura sebagai dukungan teknis. Beberapa domain aktif, sementara yang lain dalam keadaan tidak aktif, menunggu serangan yang ditargetkan di masa depan.
Variasi metode serangan menunjukkan bahwa penipuan GreedyBear mengoperasikan saluran distribusi yang luas, bukan hanya fokus pada satu teknik. Pendekatan yang beragam ini memungkinkan kelompok tersebut untuk beralih strategi berdasarkan apa yang paling efektif. Penggunaan kembali infrastruktur di berbagai keluarga malware memperkuat adanya koordinasi terpusat di balik semua komponen kampanye.
Server terpusat mengendalikan operasi pencurian global
GreedyBear menjalankan seluruh bisnis kriminal mereka melalui satu alamat IP yaitu 185.208.156.66. Hampir semua domain yang digunakan di berbagai ekstensi, payload malware, dan situs phishing terhubung ke server pusat ini. Pusat ini menangani komunikasi perintah dan kendali, pengumpulan kredensial, koordinasi ransomware, serta hosting situs penipuan.
Infrastruktur terpusat memungkinkan penyerang untuk menyederhanakan operasi melalui berbagai saluran serangan secara efisien. Data dari ekstensi browser, infeksi malware, dan korban situs web semuanya mengalir ke titik pengumpulan yang sama. Pendekatan ini mempermudah manajemen sambil memberikan intelijen yang komprehensif mengenai korban target.
Koi Security menemukan kelompok tersebut telah mulai memperluas ke luar browser Firefox. Ekstensi Chrome yang jahat bernama Filecoin Wallet menggunakan metode pencurian kredensial yang sama beberapa bulan lalu. Ekstensi Chrome ini berkomunikasi dengan domain yang dihosting pada infrastruktur server 185.208.156.66 yang sama.
Koneksi ini memastikan bahwa GreedyBear sedang menguji operasi di berbagai ekosistem browser. Chrome, Edge, dan browser lainnya kemungkinan akan menghadapi kampanye ekstensi yang serupa dalam beberapa bulan mendatang. Kemauan kelompok ini untuk bereksperimen di berbagai platform menunjukkan komitmennya untuk memperluas operasinya.
Alat AI telah membantu mempercepat pertumbuhan dan kompleksitas kampanye tersebut menurut analisis kode. Hasil karya yang dihasilkan dalam malware menunjukkan bahwa kecerdasan buatan membantu dengan pembuatan payload dan skalabilitas. Teknologi ini memungkinkan siklus pengembangan yang lebih cepat dan peningkatan penghindaran sistem deteksi keamanan di berbagai platform.
Diketahui di tempat yang penting.Iklankan di aiotrade.app. Riset dan jangkau investor dan pembuat kripto terbaik.
Komentar
Tuliskan Komentar Anda!