Onderzoekers van Koi Security hebben ontdekt dat de GreedyBear-hackgroep, bekend om het aanvallen van cryptogebruikers, een nieuwe “industriële” strategie inzet om digitale wallets te kraken en cryptomunten te stelen.
Volgens het rapport combineert GreedyBear nu meerdere kwaadaardige tactieken voor een grootschalige aanval op cryptogebruikers. Deze aanpak omvat meer dan 150 kwaadaardige Firefox-extensies, ransomware en tientallen professioneel ogende phishingwebsites. Uit meldingen van slachtoffers blijkt dat de groep inmiddels ruim $1 miljoen aan cryptomunten heeft buitgemaakt en haar activiteiten agressief uitbreidt.
Opvallend is dat GreedyBear niet langer simpelweg probeert om direct kwaadaardige extensies in de marktplaats te krijgen, maar eerst legitieme extensies bouwt en deze daarna “uitholt” (extension hollowing) door later kwaadaardige code toe te voegen. Zo weet de groep beveiligingscontroles te omzeilen:
“In plaats van stiekem kwaadaardige extensies door de eerste review te krijgen, bouwt de groep eerst een portfolio van legitiem ogende extensies en voorziet deze later van malware, wanneer niemand meer kijkt,” aldus Koi Security.
Na Firefox lijkt de hackgroep nu ook Google-extensies te willen misbruiken om haar bereik verder uit te breiden.
Naast malafide extensies verspreidt de groep ook malware, waaronder ransomware, credential stealers, infostealers en trojans, vaak via websites die illegale software aanbieden.
Verder zet GreedyBear een groot aantal phishingwebsites in die loginpagina’s van bekende cryptowallets nabootsen, zoals MetaMask, TronLink en Exodus, of “wallet-reparatiediensten” aanbieden. In tegenstelling tot veel andere nepsites zijn deze opvallend professioneel gemaakt en wekken ze direct vertrouwen.
Onderzoekers hebben de operatie weten te herleiden tot één IP-adres: 185.208.156.66, vermoedelijk het centrale commandocentrum van de hackgroep.
