Một chiến dịch tội phạm mạng tinh vi được gọi là "GreedyBear" đã đánh cắp hơn 1 triệu đô la tiền điện tử bằng cách áp dụng một mối đe dọa ba chiều của các loại tấn công. Chiến dịch này liên quan đến
- Tiện ích mở rộng trình duyệt độc hại: Hơn 150 tiện ích mở rộng giả mạo đã được xuất bản trên chợ trình duyệt Firefox, mạo danh các ví tiền điện tử phổ biến như MetaMask, TronLink, Exodus và Rabby Wallet. Những tiện ích mở rộng này sử dụng kỹ thuật "Extension Hollowing", trong đó các kẻ tấn công tạo ra các tiện ích mở rộng hợp pháp ban đầu để vượt qua các kiểm tra an ninh, sau đó làm cho chúng trở nên độc hại.
- Phần mềm độc hại theo chủ đề tiền điện tử: Gần 500 mẫu phần mềm độc hại đã được xác định, bao gồm các công cụ đánh cắp thông tin đăng nhập như LummaStealer và các biến thể ransomware được thiết kế để yêu cầu thanh toán bằng tiền điện tử. Phần mềm độc hại này thường được phân phối qua các trang web của Nga cung cấp phần mềm bị crack hoặc vi phạm bản quyền.
- Trang web lừa đảo: Một mạng lưới các trang web giả mạo có hình thức như các sản phẩm và dịch vụ liên quan đến tiền điện tử, khiến người dùng tiết lộ thông tin nhạy cảm. Những trang web này xuất hiện như các trang đích sản phẩm hợp pháp, quảng cáo ví điện tử, thiết bị phần cứng hoặc dịch vụ sửa chữa ví.
Nhóm GreedyBear đã tái định nghĩa việc đánh cắp tiền điện tử quy mô công nghiệp bằng cách kết hợp các vectơ tấn công này, thể hiện một phương pháp tinh vi để nhắm mục tiêu người dùng tiền điện tử. Theo Tuval Admoni, một nhà nghiên cứu tại Koi Security, nhóm này đã "ngừng suy nghĩ nhỏ" và hiện đang triển khai các trò lừa đảo phức tạp để tối đa hóa lợi nhuận của họ. Thành công của chiến dịch này nhấn mạnh nhu cầu về các biện pháp bảo mật mạnh mẽ hơn và sự cảnh giác của người dùng.
Chiến dịch GreedyBear là một hoạt động tội phạm mạng tinh vi đã đánh cắp hơn 1 triệu đô la tiền điện tử bằng cách sử dụng ba vectơ tấn công chính:
- Tiện ích mở rộng trình duyệt độc hại: Hơn 150 tiện ích mở rộng giả mạo đã được xuất bản trên chợ trình duyệt Firefox, mạo danh các ví tiền điện tử phổ biến như MetaMask, TronLink, Exodus và Rabby Wallet. Những tiện ích mở rộng này sử dụng kỹ thuật "Extension Hollowing", trong đó các kẻ tấn công tạo ra các tiện ích mở rộng hợp pháp ban đầu để vượt qua các kiểm tra an ninh, sau đó làm cho chúng trở nên độc hại.
- Phần mềm độc hại theo chủ đề tiền điện tử: Gần 500 mẫu phần mềm độc hại đã được xác định, bao gồm các công cụ đánh cắp thông tin đăng nhập như LummaStealer và các biến thể ransomware được thiết kế để yêu cầu thanh toán bằng tiền điện tử. Phần mềm độc hại này thường được phân phối qua các trang web của Nga cung cấp phần mềm bị crack hoặc vi phạm bản quyền.
- Trang web lừa đảo: Một mạng lưới các trang web giả mạo có hình thức như các sản phẩm và dịch vụ liên quan đến tiền điện tử, xuất hiện như các trang đích sản phẩm giả mạo quảng cáo ví điện tử, thiết bị phần cứng hoặc dịch vụ sửa chữa ví. Một máy chủ hoạt động như một trung tâm điều khiển cho việc thu thập thông tin đăng nhập, phối hợp ransomware và các trang web lừa đảo, cho phép các kẻ tấn công hợp lý hóa hoạt động qua nhiều kênh.