Crypto-oplichtersgroep GreedyBear steelt meer dan $1m met behulp van valse extensies en malware
Een groep cryptovaluta-dreigingsactoren genaamd "GreedyBear" heeft meer dan $1 miljoen gestolen in wat onderzoekers beschrijven als een campagne op industriële schaal met kwaadaardige browserextensies, malware en scamwebsites.
- GreedyBear heeft naar verluidt meer dan $1 miljoen gestolen via kwaadaardige extensies, malware en scamwebsites.
- Meer dan 650 kwaadaardige tools gericht op gebruikers van cryptovaluta-wallets werden geïdentificeerd in de campagne.
- Onderzoekers vonden tekenen van door AI gegenereerde code die werd gebruikt om aanvallen te schalen en te diversifiëren.
GreedyBear heeft "diefstal van crypto op industriële schaal opnieuw gedefinieerd," volgens Koi Security-onderzoeker Tuval Admoni, die zei dat de aanpak van de groep meerdere bewezen aanvalsmethoden combineert tot één gecoördineerde operatie.
Terwijl de meeste cybercriminele organisaties zich specialiseren in één vector, zoals phishing, ransomware of valse extensies, heeft GreedyBear alle drie tegelijkertijd op grote schaal nagestreefd.
De bevindingen komen slechts dagen nadat blockchain-beveiligingsbedrijf PeckShield een scherpe stijging in cryptomisdaad in juli rapporteerde, waarbij kwaadwillende actoren ongeveer $142 miljoen stalen in 17 grote incidenten.
Kwaadaardige browserextensies
Het onderzoek van Koi Security ontdekte dat de huidige campagne van GreedyBear al meer dan 650 kwaadaardige tools heeft ingezet die gericht zijn op gebruikers van cryptovaluta-wallets.
Admoni merkte op dat dit een escalatie markeert ten opzichte van de eerdere "Foxy Wallet"-campagne van de groep, die in juli 40 kwaadaardige Firefox-extensies blootlegde.
De groep gebruikt een techniek die Koi "Extension Hollowing" noemt om marktplaatscontroles te omzeilen en gebruikersvertrouwen te winnen.
Operators publiceren eerst onschuldig ogende Firefox-extensies — zoals link-opschoners of video-downloaders — onder nieuwe uitgeveraccounts. Deze worden vervolgens aangevuld met valse positieve beoordelingen voordat ze worden omgezet in wallet-imiterende tools gericht op MetaMask, TronLink, Exodus en Rabby Wallet.
Eenmaal bewapend, oogsten de extensies inloggegevens rechtstreeks uit gebruikersinvoervelden en verzenden deze naar de command-and-control server van GreedyBear.
Crypto Malware
Naast extensies vonden onderzoekers bijna 500 kwaadaardige Windows-uitvoerbare bestanden die verbonden waren aan dezelfde infrastructuur.
Deze bestanden omvatten meerdere malwarefamilies, waaronder credential stealers zoals LummaStealer, ransomware-varianten die lijken op Luca Stealer, en generieke trojans die waarschijnlijk fungeren als laders voor andere payloads.
Koi Security merkte op dat veel van deze samples verschijnen in malware-distributiekanalen die worden gehost op Russischtalige websites die gekraakte, illegale kopieën of "herverpakte" software aanbieden. Deze distributiemethode verbreedt niet alleen het bereik van de groep naar minder beveiligingsbewuste gebruikers, maar stelt hen ook in staat om infecties te verspreiden buiten het crypto-native publiek.
Onderzoekers vonden ook malware-samples die modulaire mogelijkheden vertoonden, wat suggereert dat de operators payloads kunnen updaten of functies kunnen wisselen zonder volledig nieuwe malware in te zetten.
Scam cryptodiensten
Parallel aan deze malware-operaties onderhoudt GreedyBear een netwerk van scamwebsites die cryptovaluta-producten en -diensten imiteren. Deze websites zijn ontworpen om gevoelige informatie te verzamelen van nietsvermoedende gebruikers.
Koi Security vond valse landingspagina's die hardware wallets adverteerden, en valse wallet-reparatiediensten die beweerden populaire apparaten zoals Trezor te kunnen repareren. Andere pagina's bleken valse digitale wallets of crypto-hulpprogramma's te promoten, allemaal met een professioneel ontwerp.
In tegenstelling tot traditionele phishingsites die inlogpagina's van exchanges nabootsen, doen deze scams zich voor als productshowcases of ondersteuningsdiensten. Bezoekers worden verleid om wallet-herstelzinnen, privésleutels, betalingsinformatie of andere gevoelige gegevens in te voeren, die de aanvallers vervolgens exfiltreren voor vervolgdiefstal of creditcardfraude.
Het onderzoek van Koi ontdekte dat sommige van deze domeinen nog steeds actief waren en gegevens verzamelden, terwijl andere inactief leken maar klaar waren voor activering in toekomstige campagnes.
Een centraal knooppunt
Verder ontdekte Koi dat bijna alle domeinen die verbonden zijn met GreedyBear's extensies, malware en scamwebsites verwijzen naar één enkel IP-adres — 185.208.156.66.
Deze server fungeert als de command-and-control hub van de operatie, die de verzameling van inloggegevens, ransomware-coördinatie en hosting voor frauduleuze websites beheert. Door operaties op één infrastructuur te consolideren, kan de groep slachtoffers volgen, payloads aanpassen en gestolen gegevens met grotere snelheid en efficiëntie distribueren.
Volgens Admoni waren er ook tekenen van "door AI gegenereerde artefacten" gevonden in de code van de campagne, wat het "sneller en gemakkelijker dan ooit maakt voor aanvallers om operaties te schalen, payloads te diversifiëren en detectie te ontwijken."
"Dit is geen voorbijgaande trend — het is de nieuwe norm. Terwijl aanvallers zich bewapenen met steeds capabelere AI, moeten verdedigers reageren met even geavanceerde beveiligingstools en inlichtingen," zei Admoni.
Misschien vind je dit ook leuk
XRP Houdt $1,30 Vast Terwijl Wave 2 Correctie Zich Ontvouwt
Trump-christenen beweren dat religieuze opwekking Amerika overspoelt — maar wetenschappers zeggen het tegendeel
