- дата публікації
Російська хакерська група використовує підроблені версії MetaMask для крадіжки $1 млн у криптовалюті
- джерело
- сайт
- decrypt.co
- відкрити джерело
Російська хакерська група GreedyBear у останні місяці значно розширила свої операції, використовуючи 150 "озброєних розширень Firefox" для атаки на міжнародних та англомовних жертв, повідомляє компанія Koi Security. У своєму блозі Koi, що базується в США та Ізраїлі, зазначила, що група "перепридумала промислове крадіжок криптовалюти", вкрадучи понад 1 мільйон доларів за останні п'ять тижнів за допомогою цих розширень, близько 500 шкідливих виконуваних файлів і "десятків" фішингових сайтів. Генеральний директор Koi Ідан Дардікман розповів, що кампанія з Firefox є "найбільш прибутковою" атакою, яка принесла велику частину вкраденої суми. Використовуючи підміни розширень, GreedyBear завантажує спочатку не шкідливі версії, а потім оновлює їх із шкідливим кодом.
Група також залишає фальшиві відгуки, щоб створити ілюзію надійності.
Завантажені шкідливі розширення викрадають дані гаманців, які використовуються для крадіжки криптовалюти. GreedyBear вдалося вкрасти 1 мільйон доларів лише за трохи більше ніж місяць, суттєво розширивши масштаби своїх операцій — попередня кампанія, що відбувалася між квітнем і липнем цього року, включала лише 40 розширень. Група також поширює майже 500 шкідливих виконуваних файлів на російських веб-сайтах, що пропонують піратське або перепаковане програмне забезпечення, у тому числі викрадачів даних, програмне забезпечення-вимагачів і трояни. GreedyBear створює сотні фішингових сайтів, які видають себе за легітимні сервіси, пов'язані з криптовалютою.
Ці сайти примушують жертв вводити особисті дані та дані гаманців. Хоча GreedyBear використовує різноманітні методи атаки, Koi повідомляє, що "майже всі" домени атак пов'язані з однією IP-адресою: 185.208.156.66, яка виконує функцію центрального хабу для координації та збору. Дардікман зазначив, що це свідчить про організовану кіберзлочинність, а не про державну підтримку, оскільки державні операції зазвичай використовують розподілену інфраструктуру для уникнення єдиного пункту можливих збоїв. Він також припустив, що GreedyBear, ймовірно, продовжить свої операції, і дав кілька порад щодо захисту від їхнього впливу: "Ставте розширення тільки від перевірених розробників", "Уникайте піратських програм", "Використовуйте тільки офіційне програмне забезпечення для гаманців".
Найбільш безпечним є використання апаратних гаманців, які слід купувати тільки з офіційних сайтів виробників.