Russische hackersgroep GreedyBear heeft onlangs meer dan $1 miljoen aan cryptocurrency gestolen door MetaMask wallets te vervalsen

PANews meldde op 11 augustus dat volgens Decrypt, Koi Security, gevestigd in de Verenigde Staten en Israël, rapporteerde dat de Russische hackersgroep GreedyBear 150 "bewapende Firefox-extensies", bijna 500 kwaadaardige uitvoerbare bestanden en "tientallen" phishingwebsites heeft gebruikt om in de afgelopen vijf weken meer dan $1 miljoen aan cryptocurrency te stelen.

Koi CTO Idan Dardikman verklaarde dat Firefox-aanvallen "veruit" hun meest winstgevende aanvalsvector waren, goed voor het grootste deel van de $1 miljoen aan inkomsten. Deze specifieke tactiek omvatte het maken van nepversies van veelgedownloade cryptowallets zoals MetaMask, Exodus, Rabby Wallet en TronLink. De hackers gebruikten Extension Hollowing om beveiligingsmaatregelen van de marketplace te omzeilen door eerst een goedaardige versie van de extensie te uploaden en vervolgens de applicatie bij te werken met kwaadaardige code.

De groep plaatst ook neprecensies van extensies om een valse indruk van vertrouwen en betrouwbaarheid te creëren. Eenmaal gedownload, stelen de kwaadaardige extensies wallet-inloggegevens, die vervolgens worden gebruikt om cryptocurrency te stelen. Een andere primaire aanvalsvector voor de groep betreft de verspreiding van bijna 500 kwaadaardige Windows-uitvoerbare bestanden, die worden toegevoegd aan Russische websites die piraat- of opnieuw verpakte software verspreiden. Deze uitvoerbare bestanden omvatten credential stealers, ransomware en Trojans.