Greedybear adlı sofistike ve büyük ölçekli bir siber suç kampanyası, kripto para birimi kullanıcılarından en az bir milyon dolar çalmak için ortaya çıktı. Siber güvenlik firması KOI Security tarafından yapılan ve hackread.com ile paylaşılan araştırma, tipik çevrimiçi dolandırıcılıkların çok ötesine geçen oldukça organize bir operasyon ortaya koyuyor.
Tek bir saldırıya odaklanmak yerine, GreedyBear’ın arkasındaki suçlular, kötü amaçlı tarayıcı uzantıları, kötü amaçlı yazılım ve sahte web sitelerinin koordineli bir karışımını kullanıyor. Bu strateji, aynı anda birden fazla açıdan saldırmalarını sağlar ve operasyonlarını inanılmaz derecede etkili hale getirir.
Nasıl yapıyorlar: Üç saldırı yöntemi
GreedyBear’ın çalışmasının ana yollarından biri, kötü niyetli tarayıcı uzantılarıdır. Grup, Metamask, Tronlink, Çıkış ve Rabby cüzdanı gibi popüler kripto cüzdanları gibi davranarak Firefox Marketplace için 150’den fazla sahte uzatma yarattı.
Saldırganlar, güvenlik kontrollerinden kaçınmak için “Uzatma oyuk” adlı akıllı bir numara kullanıyor. Önce zararsız uzantılar yüklerler ve sahte olumlu incelemelerle güvenilirlik oluşturduktan sonra, isimlerini ve simgelerini değiştirerek ve olumlu inceleme geçmişini korurken kötü amaçlı kod enjekte ederek uzantıları oyarlar.
İkinci yöntem, korsan yazılım sunan sitelerde bulunan yaklaşık 500 kötü amaçlı program veya yürütülebilir ürünler içerir. Bu zararlı programlar, oturum açma bilgilerinizi çalmak için tasarlanmış kimlik bilgisi çalıcıları ve dosyalarınızı kilitleyen ve bir ödeme talep eden fidye yazılımlarını içerir. Bu araçların çeşitliliği, grubun sadece tek trick bir midilli olmadığını, aynı zamanda kurbanları hedeflemek için çok çeşitli yöntemlere sahip olduğunu gösteriyor.
Üçüncüsü, grup meşru kripto hizmetleri veya cüzdan onarım araçları gibi görünen düzinelerce sahte web sitesi kurdu. Bu siteler, kullanıcıları kişisel bilgileri ve cüzdan detaylarını girmeye yönlendirmek için tasarlanmıştır.
Temel bulgu
KOI Security’nin araştırması, tüm bu saldırıların, sahte uzantıların, kötü amaçlı yazılımların ve aldatmaca web sitelerinin tümü tek bir merkezi sunucuya bağlı olmasıdır (185.208.156.66). Bu merkezi merkez, saldırganların büyük ölçekli operasyonlarını büyük bir verimlilikle yönetmelerini sağlar.
Araştırmacılar, Foxy Cüzdan olarak bilinen daha küçük bir çaba olarak başlayan bu kampanyanın, yakında Chrome ve Edge gibi diğer tarayıcılara genişleyebileceğinin işaretleriyle büyük bir çok platform tehdidine dönüştüğünü belirtiyor.
Araştırmacılar ayrıca, bu tür büyük ölçekli, otomatik suçun muhtemelen yeni AI araçları tarafından mümkün olduğunu ve suçluların saldırı başlatmasını her zamankinden daha hızlı ve daha kolay hale getirdiğini kaydetti. Bu yeni gerçeklik, eski güvenlik yöntemlerine güvenmenin artık çevrimiçi olarak güvende kalmak için yeterli olmadığı anlamına geliyor.