O grupo de hackers russo GreedyBear roubou recentemente mais de 1 milhão de dólares em criptomoeda através da falsificação de carteiras MetaMask

A PANews relatou em 11 de agosto que, de acordo com a Decrypt, a Koi Security, com sede nos Estados Unidos e Israel, informou que o grupo de hackers russo GreedyBear utilizou 150 "extensões do Firefox armadas", quase 500 arquivos executáveis maliciosos e "dezenas" de sites de phishing para roubar mais de $1 milhão em criptomoedas nas últimas cinco semanas.

O Diretor de tecnologia (CTO) da Koi, Idan Dardikman, afirmou que os ataques ao Firefox foram "de longe" o vetor de ataque mais lucrativo, representando a maioria do $1 milhão em receita. Esta tática específica envolveu a criação de versões falsas de carteiras cripto amplamente baixadas, como MetaMask, Exodus, Rabby Wallet e TronLink. Os hackers utilizaram o Extension Hollowing para contornar as medidas de segurança do marketplace, inicialmente enviando uma versão benigna da extensão e depois atualizando a aplicação com código malicioso.

O grupo também publica avaliações falsas das extensões para criar uma falsa impressão de confiança e fiabilidade. Uma vez baixadas, as extensões maliciosas roubam credenciais da carteira, que são então utilizadas para roubar criptomoedas. Outro vetor de ataque primário para o grupo envolve a distribuição de quase 500 executáveis maliciosos do Windows, que são adicionados a sites russos que distribuem software pirata ou reembalado. Estes executáveis incluem ladrões de credenciais, ransomware e Trojans.