Kelompok penipuan kripto GreedyBear mencuri lebih dari $1 juta menggunakan ekstensi palsu dan malware
Sekelompok aktor ancaman mata uang kripto yang dijuluki "GreedyBear" telah mencuri lebih dari $1 juta dalam apa yang peneliti gambarkan sebagai kampanye skala industri yang mencakup ekstensi browser berbahaya, malware, dan situs web penipuan.
- GreedyBear dilaporkan telah mencuri lebih dari $1 juta melalui ekstensi berbahaya, malware, dan situs web penipuan.
- Lebih dari 650 alat berbahaya yang menargetkan pengguna dompet kripto telah diidentifikasi dalam kampanye tersebut.
- Peneliti menemukan tanda-tanda kode yang dihasilkan AI yang digunakan untuk memperluas dan mendiversifikasi serangan.
GreedyBear telah "mendefinisikan ulang pencurian kripto skala industri," menurut peneliti Koi Security Tuval Admoni, yang mengatakan pendekatan kelompok tersebut menggabungkan beberapa metode serangan terbukti menjadi satu operasi terkoordinasi.
Sementara sebagian besar kelompok penjahat siber mengkhususkan diri pada satu vektor, seperti phishing, ransomware, atau ekstensi palsu, GreedyBear telah mengejar ketiganya secara bersamaan dalam skala besar.
Temuan ini muncul hanya beberapa hari setelah perusahaan keamanan blockchain PeckShield melaporkan kenaikan tajam kejahatan kripto pada Juli, dengan aktor jahat mencuri sekitar $142 juta dalam 17 insiden besar.
Ekstensi browser berbahaya
Investigasi Koi Security menemukan bahwa kampanye GreedyBear saat ini telah mengerahkan lebih dari 650 alat berbahaya yang menargetkan pengguna dompet mata uang kripto.
Admoni mencatat bahwa ini menandai eskalasi dari kampanye "Foxy Wallet" kelompok tersebut sebelumnya, yang pada Juli mengungkap 40 ekstensi Firefox berbahaya.
Kelompok ini menggunakan teknik yang Koi sebut "Extension Hollowing" untuk melewati pemeriksaan marketplace dan mendapatkan kepercayaan pengguna.
Operator pertama-tama mempublikasikan ekstensi Firefox yang tampak tidak berbahaya — seperti pembersih tautan atau pengunduh video — di bawah akun penerbit baru. Ekstensi ini kemudian diisi dengan ulasan positif palsu sebelum diubah menjadi alat peniru dompet yang menargetkan MetaMask, TronLink, Exodus, dan Rabby Wallet.
Setelah dipersenjatai, ekstensi tersebut mengumpulkan kredensial langsung dari bidang input pengguna dan mengirimkannya ke server command-and-control GreedyBear.
Malware Kripto
Di luar ekstensi, peneliti menemukan hampir 500 executable Windows berbahaya yang terkait dengan infrastruktur yang sama.
File-file ini mencakup beberapa keluarga malware, termasuk pencuri kredensial seperti LummaStealer, varian ransomware yang menyerupai Luca Stealer, dan trojan generik yang kemungkinan bertindak sebagai loader untuk muatan lain.
Koi Security mencatat bahwa banyak dari sampel ini muncul dalam jalur distribusi malware yang dihosting di situs web berbahasa Rusia yang menawarkan perangkat lunak yang diretas, dibajak, atau "dikemas ulang". Metode distribusi ini tidak hanya memperluas jangkauan kelompok ke pengguna yang kurang sadar keamanan tetapi juga memungkinkan mereka menyebarkan infeksi di luar audiens asli kripto.
Peneliti juga menemukan sampel malware yang menunjukkan kemampuan modular, menunjukkan bahwa operator dapat memperbarui muatan atau menukar fungsi tanpa mengerahkan malware baru sepenuhnya.
Layanan kripto penipuan
Berjalan sejajar dengan operasi malware ini, GreedyBear mempertahankan jaringan situs web penipuan yang meniru produk dan layanan mata uang kripto. Situs web ini dirancang untuk mengumpulkan informasi sensitif dari pengguna yang tidak curiga.
Koi Security menemukan halaman arahan palsu yang mengiklankan dompet perangkat keras, dan layanan perbaikan dompet palsu yang mengklaim memperbaiki perangkat populer seperti Trezor. Halaman lain ditemukan mempromosikan dompet digital palsu atau utilitas kripto, semuanya dengan desain kelas profesional.
Tidak seperti situs phishing tradisional yang meniru halaman login bursa, penipuan ini berpose sebagai pameran produk atau layanan dukungan. Pengunjung dipikat untuk memasukkan frasa pemulihan dompet, kunci pribadi, informasi pembayaran, atau data sensitif lainnya, yang kemudian diekstraksi oleh penyerang untuk pencurian lanjutan atau penipuan kartu kredit.
Investigasi Koi menemukan bahwa beberapa domain ini masih aktif dan mengumpulkan data, sementara yang lain tampak tidak aktif tetapi siap untuk diaktifkan dalam kampanye masa depan.
Node pusat
Selanjutnya, Koi menemukan bahwa hampir semua domain yang terhubung dengan ekstensi, malware, dan situs web penipuan GreedyBear mengarah ke satu alamat IP — 185.208.156.66.
Server ini berfungsi sebagai pusat command-and-control operasi, mengelola pengumpulan kredensial, koordinasi ransomware, dan hosting untuk situs web penipuan. Dengan mengkonsolidasikan operasi pada satu infrastruktur, kelompok ini mampu melacak korban, menyesuaikan muatan, dan mendistribusikan data curian dengan kecepatan dan efisiensi yang lebih besar.
Menurut Admoni, ada juga tanda-tanda "artefak yang dihasilkan AI" yang ditemukan dalam kode kampanye, yang membuatnya "lebih cepat dan lebih mudah dari sebelumnya bagi penyerang untuk memperluas operasi, mendiversifikasi muatan, dan menghindari deteksi."
"Ini bukan tren yang berlalu — ini adalah normal baru. Saat penyerang mempersenjatai diri dengan AI yang semakin canggih, pembela harus merespons dengan alat keamanan dan intelijen yang sama canggihnya," kata Admoni.
Anda Mungkin Juga Menyukai
Meta Mengalihkan Fokus dari Metaverse ke AI, Rencanakan PHK 10% di Reality Labs
Akankah XRP Diperlakukan Seperti Bitcoin dan Ethereum di Bawah Clarity Act?
