GreedyBear: Firefox Marketplace'te 40 Sahte Kripto Cüzdan Uzantısı Bulundu
GreedyBear adlı karmaşık ve büyük ölçekli bir siber suç kampanyasının, kripto para kullanıcılarından en az bir milyon dolar çaldığı ortaya çıktı. Siber güvenlik şirketi Koi Security tarafından yürütülen ve Hackread.com ile paylaşılan araştırma, tipik çevrimiçi dolandırıcılıkların çok ötesine geçen, son derece organize bir operasyonu ortaya koyuyor.
GreedyBear'ın arkasındaki suçlular, tek bir saldırı türüne odaklanmak yerine, kötü amaçlı tarayıcı uzantıları , kötü amaçlı yazılımlar ve sahte web sitelerinin koordineli bir karışımını kullanıyor. Bu strateji, aynı anda birden fazla açıdan saldırmalarına olanak tanıyarak operasyonlarını inanılmaz derecede etkili hale getiriyor.
GreedyBear'ın başlıca faaliyet alanlarından biri kötü amaçlı tarayıcı uzantılarıdır. Grup, Firefox pazarı için MetaMask, TronLink, Exodus ve Rabby Wallet gibi popüler kripto para cüzdanlarını taklit eden 150'den fazla sahte uzantı oluşturmuştur.
Saldırganlar, güvenlik kontrollerinden kaçınmak için "Uzantı Boşaltma" adı verilen akıllıca bir yöntem kullanıyor. Önce zararsız uzantılar yüklüyor, sahte olumlu yorumlarla güvenilirlik oluşturduktan sonra, adlarını ve simgelerini değiştirerek ve kötü amaçlı kodlar enjekte ederek uzantıların içini boşaltıyor ve tüm bunları yaparken olumlu yorum geçmişini koruyorlar.
İkinci yöntem, korsan yazılım sunan sitelerde bulunan yaklaşık 500 kötü amaçlı program veya çalıştırılabilir dosyayı içeriyor. Bu zararlı programlar arasında, oturum açma bilgilerinizi çalmak için tasarlanmış kimlik bilgisi hırsızları ve dosyalarınızı kilitleyip ödeme talep eden fidye yazılımları yer alıyor. Bu araçların çeşitliliği, grubun yalnızca tek bir numaraya odaklanmadığını, aynı zamanda kurbanları hedeflemek için çok çeşitli yöntemler kullandığını gösteriyor.
Üçüncüsü, grup, meşru kripto para hizmetleri veya cüzdan onarım araçları gibi görünen düzinelerce sahte web sitesi kurdu. Bu siteler, kullanıcıları kişisel bilgilerini ve cüzdan ayrıntılarını girmeye kandırmak için tasarlanmıştır.
Koi Security'nin araştırmasının ortaya çıkardığı önemli bir ayrıntı, tüm bu saldırıların, sahte uzantıların, kötü amaçlı yazılımların ve dolandırıcılık web sitelerinin tek bir merkezi sunucuya ( 185.208.156.66 ) bağlı olmasıdır. Bu merkezi merkez, saldırganların büyük ölçekli operasyonlarını büyük bir verimlilikle yönetmelerine olanak tanır.
Araştırmacılar, Foxy Wallet olarak bilinen daha küçük bir çaba olarak başlayan bu kampanyanın artık büyük bir çok platformlu tehdide dönüştüğünü ve yakında Chrome ve Edge gibi diğer tarayıcılara da yayılabileceğine dair işaretler olduğunu belirtiyor.
Araştırmacılar ayrıca, bu tür büyük ölçekli, otomatik suçların muhtemelen yeni yapay zeka araçları sayesinde mümkün olduğunu ve suçluların saldırı düzenlemesini her zamankinden daha hızlı ve kolay hale getirdiğini belirtti . Bu yeni gerçeklik, eski güvenlik yöntemlerine güvenmenin artık çevrimiçi güvende kalmak için yeterli olmadığı anlamına geliyor.
HackRead
