Hoạt động của nhóm hacker GreedyBear
Nhóm hacker Nga GreedyBear đã mở rộng hoạt động trong những tháng gần đây, sử dụng 150 “tiện ích mở rộng Firefox có vũ khí” để nhắm mục tiêu vào các nạn nhân quốc tế và nói tiếng Anh, theo nghiên cứu từ Koi Security. Trong báo cáo công bố trên blog, Koi, có trụ sở tại Mỹ và Israel, cho biết nhóm này đã “định nghĩa lại việc đánh cắp tiền điện tử quy mô công nghiệp”, với hơn 1 triệu USD bị đánh cắp chỉ trong vòng năm tuần qua thông qua việc sử dụng 150 tiện ích mở rộng Firefox độc hại, gần 500 tệp thực thi độc hại và “hàng chục” trang web lừa đảo.
Chiến dịch tấn công và phương thức hoạt động
CTO của Koi, Idan Dardikman, cho biết chiến dịch Firefox là “một trong những” phương thức tấn công mang lại lợi nhuận cao nhất của họ, đã “giúp họ thu về hầu hết 1 triệu USD được báo cáo”. Chiêu trò này liên quan đến việc tạo ra các phiên bản giả của các ví tiền điện tử phổ biến như MetaMask, Exodus, Rabby Wallet và TronLink. Các thành viên của GreedyBear sử dụng kỹ thuật Extension Hollowing để vượt qua các biện pháp bảo mật của thị trường, ban đầu tải lên các phiên bản không độc hại của các tiện ích mở rộng, trước khi cập nhật các ứng dụng với mã độc. Họ cũng đăng các đánh giá giả về các tiện ích mở rộng, tạo ấn tượng sai về độ tin cậy.
Khi được tải xuống, các tiện ích mở rộng độc hại sẽ đánh cắp thông tin đăng nhập ví, từ đó được sử dụng để chiếm đoạt tiền điện tử. Không chỉ GreedyBear đã có thể đánh cắp 1 triệu USD chỉ trong hơn một tháng bằng phương pháp này, mà họ còn đã mở rộng quy mô hoạt động của mình, với một chiến dịch trước đó – hoạt động từ tháng 4 đến tháng 7 năm nay – chỉ liên quan đến 40 tiện ích mở rộng.
Phương thức tấn công khác và các trang web lừa đảo
Phương thức tấn công chính khác của nhóm này liên quan đến gần 500 tệp thực thi độc hại trên Windows, mà họ đã thêm vào các trang web Nga phân phối phần mềm vi phạm bản quyền hoặc được đóng gói lại. Các tệp thực thi này bao gồm phần mềm đánh cắp thông tin đăng nhập, ransomware và trojan, cho thấy “một đường ống phân phối phần mềm độc hại rộng lớn”, có khả năng thay đổi chiến thuật khi cần thiết. Nhóm này cũng đã tạo ra hàng chục trang web lừa đảo, giả vờ cung cấp các dịch vụ liên quan đến tiền điện tử hợp pháp, chẳng hạn như ví điện tử, thiết bị phần cứng hoặc dịch vụ sửa chữa ví. GreedyBear sử dụng những trang web này để dụ dỗ các nạn nhân tiềm năng nhập dữ liệu cá nhân và thông tin đăng nhập ví, mà họ sau đó sử dụng để đánh cắp tiền.
“Cần lưu ý rằng chiến dịch Firefox nhắm vào các nạn nhân toàn cầu/nói tiếng Anh, trong khi các tệp thực thi độc hại nhắm vào các nạn nhân nói tiếng Nga nhiều hơn,” Idan Dardikman giải thích khi nói với Decrypt.
Mặc dù có nhiều phương thức tấn công và mục tiêu khác nhau, Koi cũng báo cáo rằng “hầu như tất cả” các miền tấn công của GreedyBear đều liên kết trở lại một địa chỉ IP duy nhất: 185.208.156.66. Theo báo cáo, địa chỉ này hoạt động như một trung tâm điều phối và thu thập, cho phép các hacker của GreedyBear “tinh giản hoạt động”. Dardikman cho biết một địa chỉ IP duy nhất “có nghĩa là kiểm soát tập trung chặt chẽ” thay vì một mạng lưới phân tán. “Điều này cho thấy tội phạm mạng có tổ chức hơn là sự tài trợ của nhà nước – các hoạt động của chính phủ thường sử dụng cơ sở hạ tầng phân tán để tránh các điểm thất bại duy nhất,” ông nói thêm. “Có khả năng là các nhóm tội phạm Nga hoạt động vì lợi nhuận, không phải theo chỉ đạo của nhà nước.”
Khuyến nghị để bảo vệ người dùng
Dardikman cho biết GreedyBear có khả năng sẽ tiếp tục hoạt động của mình và đã đưa ra một số mẹo để tránh sự mở rộng của họ. “Chỉ cài đặt các tiện ích mở rộng từ các nhà phát triển đã được xác minh có lịch sử lâu dài,” ông nói, thêm rằng người dùng nên luôn tránh các trang web phần mềm vi phạm bản quyền. Ông cũng khuyến nghị chỉ sử dụng phần mềm ví chính thức, và không phải các tiện ích mở rộng trình duyệt, mặc dù ông khuyên nên tránh xa các ví phần mềm nếu bạn là một nhà đầu tư nghiêm túc lâu dài. Ông nói: “Sử dụng ví phần cứng cho các khoản nắm giữ tiền điện tử đáng kể, nhưng chỉ mua từ các trang web của nhà sản xuất chính thức – GreedyBear tạo ra các trang web ví phần cứng giả để đánh cắp thông tin thanh toán và thông tin đăng nhập.”
