Kelompok peretas Rusia GreedyBear baru-baru ini mencuri lebih dari $1 juta dalam mata uang kripto dengan memalsukan dompet MetaMask

PANews melaporkan pada 11 Agustus bahwa menurut Decrypt, Koi Security, yang berbasis di Amerika Serikat dan Israel, melaporkan bahwa kelompok peretas Rusia GreedyBear menggunakan 150 "ekstensi Firefox bersenjata", hampir 500 file eksekusi berbahaya dan "puluhan" situs phishing untuk mencuri cryptocurrency senilai lebih dari $1 juta dalam lima minggu terakhir.

CTO Koi Idan Dardikman menyatakan bahwa serangan Firefox adalah vektor serangan mereka yang "paling" menguntungkan, menyumbang sebagian besar dari pendapatan $1 juta. Taktik khusus ini melibatkan pembuatan versi palsu dari dompet kripto yang banyak diunduh seperti MetaMask, Exodus, Rabby Wallet, dan TronLink. Para peretas menggunakan Extension Hollowing untuk melewati langkah-langkah keamanan marketplace dengan awalnya mengunggah versi ekstensi yang jinak dan kemudian memperbarui aplikasi dengan kode berbahaya.

Kelompok ini juga memposting ulasan palsu tentang ekstensi untuk menciptakan kesan palsu tentang kepercayaan dan keandalan. Setelah diunduh, ekstensi berbahaya mencuri kredensial dompet, yang kemudian digunakan untuk mencuri cryptocurrency. Vektor serangan utama lainnya untuk kelompok ini melibatkan distribusi hampir 500 executable Windows berbahaya, yang ditambahkan ke situs web Rusia yang mendistribusikan perangkat lunak bajakan atau dikemas ulang. Executable ini termasuk pencuri kredensial, ransomware, dan Trojan.