กลุ่มแฮ็กเกอร์ชาวรัสเซียใช้เวอร์ชันปลอมของ MetaMask ขโมยเงินคริปโต 1 ล้านดอลลาร์

9 ชั่วโมง ที่ผ่านมา
อ่าน 12 นาที
3 มุมมอง

การขยายการดำเนินงานของกลุ่มแฮ็กเกอร์ GreedyBear

กลุ่มแฮ็กเกอร์ชาวรัสเซียที่ชื่อว่า GreedyBear ได้ขยายการดำเนินงานในช่วงไม่กี่เดือนที่ผ่านมา โดยใช้ ส่วนขยาย Firefox ที่มีอาวุธ จำนวน 150 รายการ เพื่อมุ่งเป้าไปที่เหยื่อที่พูดภาษาอังกฤษและนานาชาติ ตามการวิจัยจาก Koi Security ซึ่งได้เผยแพร่ผลการวิจัยในบล็อกของตนที่ตั้งอยู่ในสหรัฐอเมริกาและอิสราเอล รายงานระบุว่ากลุ่มนี้ได้ “นิยามใหม่การขโมยคริปโตในระดับอุตสาหกรรม” โดยใช้ส่วนขยาย Firefox ที่มีอาวุธ 150 รายการ โปรแกรมที่เป็นอันตรายเกือบ 500 รายการ และ “หลายสิบ” เว็บไซต์ฟิชชิ่ง เพื่อขโมยเงินมากกว่า 1 ล้านดอลลาร์ ในช่วงห้าสัปดาห์ที่ผ่านมา

กลยุทธ์การโจมตีของ GreedyBear

ในการพูดคุยกับ Decrypt Idan Dardikman CTO ของ Koi กล่าวว่าแคมเปญ Firefox นี้เป็น “ช่องทางการโจมตีที่ทำกำไรได้มากที่สุด” โดย “ทำให้พวกเขาได้รับเงิน 1 ล้านดอลลาร์ที่รายงานด้วยตัวเอง” กลยุทธ์นี้เกี่ยวข้องกับการสร้างเวอร์ชันปลอมของกระเป๋าเงินคริปโตที่มีการดาวน์โหลดอย่างแพร่หลาย เช่น MetaMask, Exodus, Rabby Wallet และ TronLink เจ้าหน้าที่ของ GreedyBear ใช้เทคนิค Extension Hollowing เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยในตลาด โดยเริ่มต้นอัปโหลดเวอร์ชันที่ไม่เป็นอันตรายของส่วนขยายก่อนที่จะอัปเดตแอปด้วยโค้ดที่เป็นอันตราย

“พวกเขายังโพสต์รีวิวปลอมของส่วนขยายเพื่อสร้างความเชื่อมั่นและความน่าเชื่อถือ แต่เมื่อดาวน์โหลดแล้ว ส่วนขยายที่เป็นอันตรายจะขโมยข้อมูลรับรองกระเป๋าเงิน ซึ่งจะถูกใช้ในการขโมยคริปโต”

การขยายขนาดการดำเนินงาน

ไม่เพียงแต่ GreedyBear สามารถขโมยเงิน 1 ล้านดอลลาร์ในเวลาเพียงเดือนเดียวด้วยวิธีนี้ แต่พวกเขายังได้ขยายขนาดการดำเนินงานอย่างมาก โดยแคมเปญก่อนหน้านี้ที่ดำเนินการระหว่างเดือนเมษายนถึงกรกฎาคมของปีนี้เกี่ยวข้องกับเพียง 40 ส่วนขยาย วิธีการโจมตีหลักอีกวิธีหนึ่งของกลุ่มนี้เกี่ยวข้องกับโปรแกรมที่เป็นอันตรายเกือบ 500 รายการ ซึ่งพวกเขาได้เพิ่มลงในเว็บไซต์รัสเซียที่แจกจ่ายซอฟต์แวร์ที่ละเมิดลิขสิทธิ์หรือบรรจุใหม่ โปรแกรมเหล่านี้รวมถึงโปรแกรมขโมยข้อมูลรับรอง ซอฟต์แวร์เรียกค่าไถ่ และโทรจัน

Koi Security แนะนำว่าบ่งบอกถึง “ท่อส่งมัลแวร์ที่กว้างขวาง” ซึ่งสามารถเปลี่ยนกลยุทธ์ได้ตามต้องการ กลุ่มนี้ยังได้สร้างเว็บไซต์ฟิชชิ่งหลายสิบแห่ง ซึ่งแสร้งทำเป็นให้บริการที่เกี่ยวข้องกับคริปโตอย่างถูกต้องตามกฎหมาย เช่น กระเป๋าเงินดิจิทัล อุปกรณ์ฮาร์ดแวร์ หรือบริการซ่อมกระเป๋าเงิน GreedyBear ใช้เว็บไซต์เหล่านี้เพื่อชักชวนเหยื่อที่มีศักยภาพให้กรอกข้อมูลส่วนตัวและข้อมูลรับรองกระเป๋าเงิน ซึ่งพวกเขาจะใช้ในการขโมยเงิน

การควบคุมและการป้องกัน

“ควรกล่าวถึงว่าแคมเปญ Firefox มุ่งเป้าไปที่เหยื่อที่พูดภาษาอังกฤษ/ทั่วโลกมากขึ้น ในขณะที่โปรแกรมที่เป็นอันตรายมุ่งเป้าไปที่เหยื่อที่พูดภาษารัสเซียมากขึ้น” Idan Dardikman กล่าวในการพูดคุยกับ Decrypt

แม้ว่าจะมีวิธีการโจมตีและเป้าหมายที่หลากหลาย แต่ Koi ยังรายงานว่า “เกือบทั้งหมด” โดเมนการโจมตีของ GreedyBear เชื่อมโยงกลับไปยังที่อยู่ IP เดียว: 185.208.156.66 ตามรายงาน ที่อยู่ดังกล่าวทำหน้าที่เป็นศูนย์กลางในการประสานงานและการรวบรวมข้อมูล ทำให้แฮ็กเกอร์ GreedyBear “สามารถทำให้การดำเนินงานมีประสิทธิภาพมากขึ้น” Dardikman กล่าวว่าที่อยู่ IP เดียว “หมายถึงการควบคุมที่เข้มงวด” แทนที่จะเป็นเครือข่ายที่กระจาย

“สิ่งนี้บ่งชี้ถึงอาชญากรรมไซเบอร์ที่จัดระเบียบแทนที่จะเป็นการสนับสนุนจากรัฐ – การดำเนินงานของรัฐบาลมักใช้โครงสร้างพื้นฐานที่กระจายเพื่อหลีกเลี่ยงจุดล้มเหลวเดียว” เขากล่าวเสริม “กลุ่มอาชญากรรมชาวรัสเซียที่น่าจะดำเนินการเพื่อผลกำไร ไม่ใช่การชี้นำจากรัฐ”

เคล็ดลับในการป้องกัน

Dardikman กล่าวว่ากลุ่ม GreedyBear น่าจะยังคงดำเนินการต่อไปและเสนอเคล็ดลับหลายประการในการหลีกเลี่ยงการเข้าถึงที่ขยายตัวของพวกเขา:

  • ติดตั้งส่วนขยายจากนักพัฒนาที่ได้รับการตรวจสอบที่มีประวัติยาวนานเท่านั้น
  • หลีกเลี่ยงเว็บไซต์ซอฟต์แวร์ละเมิดลิขสิทธิ์เสมอ
  • ใช้ซอฟต์แวร์กระเป๋าเงินอย่างเป็นทางการเท่านั้น
  • ไม่ใช้ส่วนขยายของเบราว์เซอร์
  • ใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองคริปโตที่สำคัญ แต่ให้ซื้อจากเว็บไซต์ของผู้ผลิตอย่างเป็นทางการเท่านั้น

“GreedyBear สร้างเว็บไซต์กระเป๋าเงินฮาร์ดแวร์ปลอมเพื่อขโมยข้อมูลการชำระเงินและข้อมูลรับรอง”

ป้ายกำกับ

ที่เกี่ยวข้อง

ล่าสุดจาก Blog