GreedyBear-Betrug, verbreitet über Firefox-Erweiterungen, erbeutete Kryptowährung im Wert von 1 Million US-Dollar: Koi Security

Die Betrügergruppe GreedyBear hat durch eine koordinierte Angriffskampagne Kryptowährung im Wert von über einer Million Dollar gestohlen.

Koi Security berichtete, dass die Gruppe 150 präparierte Firefox-Erweiterungen sowie 500 schädliche ausführbare Dateien veröffentlicht hat. Die Operation nutzte gefälschte Wallet-Erweiterungen, Phishing-Websites und Malware, um Krypto- Nutzer auf verschiedenen Plattformen anzugreifen.

Firefox-Erweiterungsbetrug zielt auf beliebte Krypto-Wallets ab

Der GreedyBear-Betrug verbreitete über 150 schädliche Erweiterungen im Firefox Store, die es auf Kryptowährungsnutzer abgesehen hatten. Diese Erweiterungen gaben sich als beliebte Wallets wie MetaMask, Trondentdentdentdentdentdentdentdentbeim Anmelden

Die Hacker erstellen zunächst echt aussehende Erweiterungen wie Link-Sanitizer und YouTube-Downloader mit eingeschränktem Funktionsumfang. Mit einem Angebot von 5–7 generischen Tools unter neuen Herausgebernamen erlangen sie in der Regel langfristig Glaubwürdigkeit.

Sobald die Kriminellen durch positive Bewertungen Vertrauen aufgebaut haben, leeren sie die betroffenen Erweiterungen vollständig. Sie ändern Namen und Symbole, fügen schädlichen Code ein, behalten aber die ursprünglichen positiven Bewertungen bei. Dadurch wirken schädliche Erweiterungen auf neue Nutzer im Marketplace vertrauenswürdig.

Die Erweiterungen dienen dazu, Wallet-dentaus den Eingabefeldern ihrer Pop-up-Fenster auszulesen. Die gestohlenen Informationen werden zur späteren Auswertung an von der kriminellen Gruppe kontrollierte Server übermittelt. Beim Start senden die Erweiterungen außerdem die IP-Adressen der Opfer zur trac.

Diese Aktion ist eine Folgeuntersuchung zu früheren Aktivitäten von Foxy Wallet, bei denen 40 schädliche Wallet-Erweiterungendent. Der Umfang hat sich im Vergleich zum ursprünglichen Fall mehr als verdoppelt. Nutzerberichte bestätigen, dass Betroffene durch die Nutzung dieser gefälschten Wallet-Erweiterungen über verschiedene Zeiträume hinweg erhebliche Verluste in Kryptowährung erlitten haben.

Ein plattformübergreifender Angriff kombiniert Schadsoftware und betrügerische Websites.

Die GreedyBear- Betrugsmasche nutzt neben ihrer Browsererweiterungskampagne fast 500 schädliche Windows-Programme. Diese Programme verbreiten sich über russische Webseiten, die gecrackte und raubkopierte Software an ahnungslose Nutzer vertreiben. Die Malware-Sammlung deckt mehrere Bedrohungskategorien ab und birgt somit ein maximales Schadenspotenzial.

dentStealer wie LummaStealer zielen auf die auf den Computern der Opfer gespeicherten Krypto-Wallet-Informationen ab. Ransomware-Varianten verschlüsseln Benutzerdateien und fordern Kryptowährungszahlungen für die Entschlüsselungsschlüssel. Generische Trojaner bieten bei Bedarf einen Hintertürzugang für die Übertragung weiterer Schadsoftware.

Die Gruppe betreibt zudem eine Infrastruktur gefälschter Krypto-Dienstleistungsseiten zum Datendiebstahl. Diese Betrugsseiten sehen aus wie seriöse Krypto-Dienste und sind keine typischen Phishing-Seiten. Auch Hardware-Wallets der Marke Jupiter enthalten gefälschte Benutzeroberflächen, die potenzielle Käufer zur Preisgabe ihrer Zahlungsdaten verleiten sollen.

Ein weiteres im Bericht angeführtes Beispiel sind Webseiten, die Reparaturen an digitalen Geldbörsen anbieten und frustrierten Kunden die Reparatur beschädigter Trezor-Produkte versprechen. Diese gefälschten Webseiten sammeln Wiederherstellungswörter und private Schlüssel der Geldbörsen, indem sie sich als technischer Support ausgeben. Einige dieser Domains sind aktiv, andere hingegen inaktiv und warten auf gezielte Angriffe.

Die Vielfalt der Angriffsmethoden zeigt, dass der GreedyBear-Betrug über ein breites Verbreitungsnetzwerk verfügt, anstatt sich auf eine einzelne Technik zu konzentrieren. Dieser diversifizierte Ansatz ermöglicht es der Gruppe, ihre Taktiken je nach Erfolg anzupassen. Die Wiederverwendung von Infrastruktur über verschiedene Malware-Familien hinweg bestätigt die zentrale Koordination aller Kampagnenkomponenten.

Zentralisierte Server steuern globale Diebstahloperationen

GreedyBear betreibt sein gesamtes kriminelles Netzwerk über eine einzige IP-Adresse unter 185.208.156.66. Nahezu alle Domains, die über Endungen, Schadsoftware und Phishing-Seiten genutzt werden, sind mit diesem zentralen Server verbunden. Dieser Server dient der Kommando- und Kontrollkommunikation,dentErfassung von Zugangsdaten, der Koordination von Ransomware-Angriffen und dem Hosting der Betrugswebseiten.

Die zentrale Infrastruktur ermöglicht Angreifern eine effiziente Durchführung ihrer Operationen über verschiedene Angriffskanäle hinweg. Daten von Browsererweiterungen, Malware-Infektionen und Website-Opfern fließen alle an denselben Sammelpunkt. Dieser Ansatz vereinfacht die Verwaltung und liefert gleichzeitig umfassende Informationen über die Zielpersonen.

Koi Security entdeckte, dass die Gruppe ihre Aktivitäten bereits über Firefox-Browser hinaus ausweitet. Eine bösartige Chrome-Erweiterung namens Filecoin Wallet nutzte vor MonatendentMethoden zum Diebstahl vondent. Diese Chrome-Erweiterung kommunizierte mit Domains, die auf derselben Serverinfrastruktur unter 185.208.156.66 gehostet werden.

Die Verbindung bestätigt, dass GreedyBear seine Aktivitäten in verschiedenen Browser-Ökosystemen testet. Chrome, Edge und andere Browser werden in den kommenden Monaten wahrscheinlich mit ähnlichen Erweiterungskampagnen konfrontiert werden. Die Bereitschaft der Gruppe, plattformübergreifend zu experimentieren, unterstreicht ihr Engagement für die Skalierung ihrer Aktivitäten.

Laut Codeanalyse haben KI-Tools das Wachstum und die Komplexität der Kampagne beschleunigt. Die im Malware-Code generierten Artefakte deuten darauf hin, dass künstliche Intelligenz bei der Erstellung und Skalierung der Payload hilft. Diese Technologie ermöglicht schnellere Entwicklungszyklen und eine bessere Umgehung von Sicherheitserkennungssystemen auf verschiedenen Plattformen.