Operasi GreedyBear: Ancaman Baru dalam Dunia Cryptocurrency
Grup peretasan Rusia bernama GreedyBear telah meningkatkan operasinya dalam beberapa bulan terakhir dengan menggunakan 150 “ekstensi Firefox yang dipersenjatai” untuk menargetkan korban internasional, khususnya yang berbahasa Inggris. Menurut penelitian yang dilakukan oleh Koi Security, grup ini telah “mendefinisikan ulang pencurian cryptocurrency skala industri” dengan memanfaatkan hampir 500 eksekusi berbahaya dan “puluhan” situs phishing untuk mencuri lebih dari $1 juta dalam waktu lima minggu terakhir.
Kampanye Berbahaya Menggunakan Firefox
Dalam wawancara dengan Decrypt, CTO Koi, Idan Dardikman, menyatakan bahwa kampanye yang menggunakan Firefox ini jauh lebih menguntungkan dibandingkan dengan vektor serangan lainnya, yang memberikan mereka sebagian besar dari total $1 juta yang dilaporkan. Tipu daya ini melibatkan pembuatan versi palsu dari dompet cryptocurrency yang populer, seperti MetaMask, Exodus, Rabby Wallet, dan TronLink. Para operatif GreedyBear menggunakan teknik yang disebut Extension Hollowing untuk menghindari langkah-langkah keamanan yang ada di pasar.
Mereka awalnya mengunggah versi ekstensi yang tampak tidak berbahaya, sebelum memperbarui aplikasi tersebut dengan kode berbahaya. Selain itu, mereka juga memposting ulasan palsu tentang ekstensi tersebut untuk menciptakan kesan kepercayaan dan keandalan. Namun, setelah diunduh, ekstensi berbahaya ini mencuri kredensial dompet pengguna, yang kemudian digunakan untuk mencuri cryptocurrency.
Skala Operasi yang Meningkat
Dalam waktu sedikit lebih dari sebulan, GreedyBear berhasil mencuri $1 juta dengan metode ini, dan mereka juga telah meningkatkan skala operasinya secara signifikan. Kampanye sebelumnya, yang berlangsung antara April dan Juli tahun ini, hanya melibatkan 40 ekstensi.
Metode serangan utama grup ini juga mencakup hampir 500 eksekusi berbahaya di Windows, yang mereka tambahkan ke situs web Rusia yang mendistribusikan perangkat lunak bajakan atau perangkat lunak yang telah dikemas ulang. Eksekusi ini termasuk pencuri kredensial, perangkat lunak ransomware, dan trojan, yang menunjukkan adanya “saluran distribusi malware yang luas” dan kemampuan untuk mengubah taktik sesuai kebutuhan.
Situs Phishing dan Target Global
GreedyBear juga telah membuat puluhan situs phishing yang berpura-pura menawarkan layanan terkait cryptocurrency yang sah, seperti dompet digital, perangkat keras, atau layanan perbaikan dompet. Mereka menggunakan situs-situs ini untuk membujuk calon korban agar memasukkan data pribadi dan kredensial dompet, yang kemudian digunakan untuk mencuri dana.
Idan Dardikman menjelaskan bahwa kampanye Firefox menargetkan korban yang lebih global dan berbahasa Inggris, sementara eksekusi berbahaya lebih fokus pada korban yang berbahasa Rusia.
Meskipun terdapat berbagai metode serangan dan target, Koi juga melaporkan bahwa “hampir semua” domain yang digunakan oleh GreedyBear terhubung kembali ke satu alamat IP: 185.208.156.66. Alamat ini berfungsi sebagai pusat koordinasi dan pengumpulan, memungkinkan para peretas GreedyBear untuk menyederhanakan operasi mereka. Dardikman menambahkan bahwa satu alamat IP menunjukkan adanya kontrol terpusat yang ketat, berbeda dengan jaringan terdistribusi.
“Ini menunjukkan bahwa kejahatan siber ini terorganisir dan bukan didukung oleh negara—operasi pemerintah biasanya menggunakan infrastruktur terdistribusi untuk menghindari titik kegagalan tunggal,” ujarnya.
Tips untuk Menghindari Jangkauan GreedyBear
Dardikman memperkirakan bahwa GreedyBear kemungkinan akan melanjutkan operasinya dan memberikan beberapa tips untuk menghindari jangkauan mereka yang semakin meluas. “Hanya instal ekstensi dari pengembang yang terverifikasi dengan sejarah panjang,” sarannya. Ia juga menekankan pentingnya menghindari situs perangkat lunak bajakan dan merekomendasikan untuk hanya menggunakan perangkat lunak dompet resmi, bukan ekstensi browser.
Bagi investor jangka panjang yang serius, ia menyarankan untuk menggunakan dompet perangkat keras untuk menyimpan cryptocurrency yang signifikan, tetapi hanya membeli dari situs web produsen resmi. “GreedyBear juga membuat situs dompet perangkat keras palsu untuk mencuri informasi pembayaran dan kredensial,” tambahnya.
