- дата публикации
Российская хакерская группа использует поддельные версии MetaMask для кражи $1 млн в криптовалюте
- источник
- сайт
- decrypt.co
- открыть источник
Российская хакерская группа GreedyBear в последние месяцы значительно расширила свои операции, используя 150 "вооруженных расширений Firefox" для атаки на международные и англоязычные жертвы, сообщает компания Koi Security. В своем блоге Koi, основанной в США и Израиле, отметила, что группа "преобразила промышленное воровство криптовалюты", украдя более 1 миллиона долларов за последние пять недель с помощью этих расширений, около 500 вредоносных исполняемых файлов и "десятков" фишинговых сайтов. Генеральный директор Koi Идан Дардикман рассказал, что кампания с Firefox является "наиболее прибыльной" атакой, которая принесла большую часть украденной суммы. Используя подмены расширений, GreedyBear загружает сначала не вредоносные версии, а затем обновляет их с вредоносным кодом.
Группа также оставляет поддельные отзывы, чтобы создать иллюзию надежности.
Загруженные вредоносные расширения крадут данные кошельков, которые используются для кражи криптовалюты. GreedyBear удалось украсть 1 миллион долларов всего за немного более чем месяц, существенно расширив масштабы своих операций — предыдущая кампания, проходившая между апрелем и июлем этого года, включала всего 40 расширений. Группа также распространяет почти 500 вредоносных исполняемых файлов на российских веб-сайтах, предлагающих пиратское или перепакованное программное обеспечение, включая кражу данных, программное обеспечение-вымогатели и трояны. GreedyBear создает сотни фишинговых сайтов, которые выдают себя за легитимные сервисы, связанные с криптовалютой.
Эти сайты вынуждают жертв вводить личные данные и данные кошельков. Хотя GreedyBear использует разнообразные методы атаки, Koi сообщает, что "практически все" домены атак связаны с одним IP-адресом: 185.208.156.66, который выполняет функцию центрального хаба для координации и сбора. Дардикман отметил, что это свидетельствует об организованной киберпреступности, а не о государственной поддержке, поскольку государственные операции обычно используют распределенную инфраструктуру для избежания единой точки возможных сбоев. Он также предположил, что GreedyBear, вероятно, продолжит свои операции, и дал несколько советов по защите от их влияния: "Ставьте расширения только от проверенных разработчиков", "Избегайте пиратских программ", "Используйте только официальное программное обеспечение для кошельков".
Наиболее безопасным является использование аппаратных кошельков, которые следует покупать только с официальных сайтов производителей.