Por Simon Chandler
4 min lectura
El grupo de hackers ruso GreedyBear ha ampliado sus operaciones en los últimos meses, utilizando 150 "extensiones de Firefox armadas" para atacar a víctimas internacionales que hablan inglés, según una investigación de Koi Security.
Koi , con sede en EE. UU. e Israel, informó en su investigación en un blog que el grupo ha "redefinido el robo de criptomonedas a escala industrial", utilizando 150 extensiones de Firefox armadas, cerca de 500 ejecutables maliciosos y "docenas" de sitios web de phishing para robar más de $1 millón en las últimas cinco semanas.
Hablando con Decrypt, el CTO de Koi, Idan Dardikman, dijo que la campaña de Firefox es "de lejos" su vector de ataque más lucrativo, ya que "les ha proporcionado la mayor parte de los $1 millón reportados por sí misma".
Esta artimaña en particular implica crear versiones falsas de billeteras de criptomonedas ampliamente descargadas como MetaMask, Exodus, Rabby Wallet y TronLink.
Los operativos de GreedyBear utilizan Extension Hollowing para evadir las medidas de seguridad del mercado, subiendo inicialmente versiones no maliciosas de las extensiones, antes de actualizar las aplicaciones con código malicioso.
También publican reseñas falsas de las extensiones, dando la falsa impresión de confianza y fiabilidad.
Pero una vez descargadas, las extensiones maliciosas roban las credenciales de la billetera, las cuales a su vez se utilizan para robar criptomonedas.
No solo GreedyBear ha logrado robar $1 millón en poco más de un mes utilizando este método, sino que han aumentado considerablemente la escala de sus operaciones, con una campaña anterior –activa entre abril y julio de este año– que involucraba solo 40 extensiones.
El otro método de ataque principal del grupo implica casi 500 ejecutables maliciosos de Windows, que han agregado a sitios web rusos que distribuyen software pirateado o empaquetado nuevamente.
Estos ejecutables incluyen robadores de credenciales, software de ransomware y troyanos, lo que sugiere Koi Security indica "un amplio canal de distribución de malware, capaz de cambiar de táctica según sea necesario".
El grupo también ha creado docenas de sitios web de phishing, que pretenden ofrecer servicios legítimos relacionados con criptomonedas, como billeteras digitales, dispositivos de hardware o servicios de reparación de billeteras.
GreedyBear utiliza estos sitios web para engañar a posibles víctimas y hacer que ingresen datos personales y credenciales de billetera, que luego utiliza para robar fondos.
"Vale la pena mencionar que la campaña de Firefox apuntaba a víctimas más globales/que hablan inglés, mientras que los ejecutables maliciosos apuntaban a víctimas que hablan ruso", explica Idan Dardikman, hablando con Decrypt.
A pesar de la variedad de métodos de ataque y de objetivos, Koi también informa que "casi todos" los dominios de ataque de GreedyBear están vinculados a una única dirección IP: 185.208.156.66.
Según el informe, esta dirección funciona como un centro central para la coordinación y la recopilación, lo que permite a los hackers de GreedyBear "optimizar las operaciones".
Dardikman dijo que una única dirección IP "significa un control centralizado estricto" en lugar de una red distribuida.
"Esto sugiere cibercrimen organizado en lugar de patrocinio estatal: las operaciones gubernamentales suelen utilizar infraestructura distribuida para evitar puntos únicos de falla", agregó. "Probablemente grupos criminales rusos operando con fines de lucro, no por dirección estatal".
Dardikman dijo que es probable que GreedyBear continúe con sus operaciones y ofreció varios consejos para evitar su alcance en expansión.
"Solo instale extensiones de desarrolladores verificados con historiales largos", dijo, añadiendo que los usuarios siempre deben evitar sitios de software pirata.
También recomendó usar solo software de billetera oficial, y no extensiones de navegador, aunque aconsejó alejarse de las billeteras de software si eres un inversor serio a largo plazo.
"Utilice billeteras de hardware para tenencias significativas de criptomonedas, pero compre solo en sitios web de fabricantes oficiales: GreedyBear crea sitios falsos de billeteras de hardware para robar información de pago y credenciales", afirmó.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.