GreedyBear olarak adlandırılan Tehdit Oyuncu Grubu, kötü niyetli tarayıcı uzantılarını, yürütülebilir kötü amaçlı yazılımları ve kimlik avı altyapısını kurbanlardan 1 milyon doların üzerinde kripto para birimini karıştırdı.
KOI güvenlik araştırmacıları tarafından ortaya çıkarılan bu koordineli saldırı, 150 silahlı Firefox uzantısı ve çeşitli saldırı vektörlerini birleştirilmiş, verimli bir hırsızlık makinesine entegre eden Fortune 500 seviyeli bir sofistike gösteren yaklaşık 500 kötü niyetli pencere yürütülebilir dosyalardan oluşan şaşırtıcı bir 650 hack araçtan yararlanır.
Fidye yazılımı veya izole kimlik avı gibi dar taktikler konusunda uzmanlaşmış geleneksel siber suçluların aksine, Greedybear’ın yaklaşımı kimlik bilgisi çalma, fidye yazılımı dağıtım ve aldatıcı dolandırıcılık siteleri, merkezi bir komuta ve kontrol (C2) sunucusu ile akarsu olmuş eksfiltration ve monetasyon için işlev gördü.
Çok Vektör Kampanyası
Kampanyanın temel inovasyonu, yeni yayıncı hesapları altındaki ilkel bağlantı dezenfektanları veya YouTube indiricileri gibi iyi huylu Firefox uzantılarını başlangıçta yükleyerek pazar güvenlik protokollerini sünnet eden bir yöntem olan “uzatma oyuk” tekniğinde yatmaktadır.
Bu zararsız araçlar, yapay güven oluşturmak için sahte olumlu incelemeler biriktirir, daha sonra saldırganlar onları boşaltmak, Metamask, Tronlink, Exodus ve Rabby gibi meşru kripto para cüzdanları taklit eden kötü amaçlı kod enjekte eder.
Değiştirilmiş uzantılar, açılır arayüzlerdeki kullanıcı giriş alanlarından cüzdan kimlik bilgilerini yakalar ve bunları mağdur IP adreslerinin yanında uzak bir C2 merkezine ekler.
Grubun 40 uzantıyı ortaya çıkaran önceki Foxy cüzdan kampanyasından gelen bu evrim, yük çeşitliliğini ve algılama mekanizmalarının kaçınmasını hızlandıran AI tarafından oluşturulan kod eserlerini içeren ölçekte iki kattan fazla artmıştır.
Araştırmacılar, bu tür AI destekli ölçeklemenin hızlı adaptasyona izin verdiğini ve eski antivirüs ve pazar veterinerlik sistemlerine meydan okuyan otomatik, yüksek hacimli siber operasyonlara doğru bir kaymayı işaretlediğini belirtiyor.
Uzatma tabanlı saldırıları tamamlayan GreedyBear, Lummastealer gibi Aileler için kimlik bilgisi hırsızlığı için yaklaşık 500 kötü niyetli yürütülebilir ürün ve dosya şifreleme ve kripto fidye talepleri için Luca Stealer’dan ilham alan fidye yazılımı dağıtıyor.
Çatlak yazılım sunan Rus siteleri aracılığıyla dağıtılan bu Truva atları, arka uç altyapısını yeniden kullanırken taktik pivotlara izin veren modüler yükleyici özellikleri sergiliyor.
Düzinelerce aldatmaca web sitesi, Jüpiter markalı donanım cüzdanları veya trezor onarım hizmetleri gibi kripto ürünleri olarak maskelenerek tehdidi daha da artırıyor.
Fabrikasyon kullanıcı arayüzleri içeren bu siteler, kullanıcıları kimlik bilgilerini veya ödeme ayrıntılarını ifşa ederek potansiyel olarak kredi kartı kullanımı gibi ikincil sahtekarlıkları sağlıyor.
Tüm öğeler, grubun operasyonel verimliliğinin altını çizen ve Chrome ve diğer ekosistemlere yönelik genişlemenin altını çizen ve bağlantılı bir “filetoya açıklama ile kanıtlandığı gibi, veri toplama, fidye yazılımı koordinasyonu ve site barındırma için konsolide bir C2 olarak hizmet veren tek bir IP adresinde (185.208.156.66) birleşir.
Gelişen siber tehdit manzarası
Bu operasyon siber suçlarda bir paradigma değişimine işaret ediyor, burada AI takımları saldırganlara eşi görülmemiş hızlarda saldırıları ölçeklendirme ve açık kaynaklı sömürüyü işletme benzeri altyapı ile harmanladı.
Foxy cüzdan maruziyetlerinden kaynaklanan GreedyBear’ın büyümesi, potansiyel olarak hedefleme ve ötesindeki çok platformlu bir tehdide dönüşüyor.
KOI Security’nin uzantılar, depolar ve üçüncü taraf kodları arasındaki risk değerlendirmesini otomatikleştiren platformu, Fortune 50 firmaları tarafından zaten güvenilen kritik bir savunma olarak ortaya çıkıyor.
MITER’in yeni IDE uzantıları kategorisinin altını çizdiğinden, güvensiz kodun güvence altına alınması çok önemlidir, açgözlülük, saldırganların büyük finansal kazanç için bu kör noktaları nasıl kullandıklarını örneklemektedir.
IOC tablosu
| Kategori | Göstergeler |
|---|---|
| IPS | 185.208.156.66 185.39.206.135 |
| Alanlar | exodlinkbase.digital, suirokboys.digital, avalancheproject.digital, allextdev.world, alladdsite.digital, metahoper.digital, filecoinwallet.net, suinetwork.world, 888surpising.pythonany.com, ventroxibnk.com.pythonany.com, ventroxibnk, coralcat.com, ventroxibnk, coralcat.com, ventroxibnk, coralcat.com, ventroxibnk, coralcat.com extprojectdev.top, teaser.co.com, jub.co.com, jup.co.com.co.com.co.com.co.com, connects.co.com, tweser.io, snipersol.com, upholdassets.com |
| Firefox Uzatma Kimlikleri (Örnek) | Exodus-Addon, Rabby-Wallet-Extension, Sırt Çantası-Wallet, Leap-Wallet-Addon, Ctrl-Wallet, Braavos-Wallet-Addon, Bitget-Crypto-Wallet, OKX-Extension-Wallet, Slush-Cripto-Wallet-Sui, Solflare-Crypto |
| Krom Uzatma Kimlikleri | plbdecidfccdnfalpnbjdilfcmjichdk |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir