150 złośliwych rozszerzeń Firefox kradnie krypto
Rosyjscy hakerzy stworzyli fałszywy MetaMask i okradli użytkowników z miliona dolarów
Rosyjska grupa hakerska o nazwie GreedyBear poczyniła w ostatnich miesiącach prawdziwy przełom w świecie cyberprzestępczości kryptowalutowej. Według raportu amerykańsko-izraelskiej firmy Koi Security, przestępcy ci "na nowo zdefiniowali kradzież kryptowalut na skalę przemysłową".
Jak to robią? Wykorzystują aż 150 "uzbrojonych rozszerzeń Firefox", blisko 500 złośliwych programów i dziesiątki stron phishingowych. Efekt? W ciągu zaledwie pięciu tygodni ukradli kryptowaluty o wartości ponad miliona dolarów (około 4 milionów złotych).
Firefox w roli głównej
Najskuteczniejszą metodą okazała się kampania wykorzystująca przeglądarkę Firefox. Jak wyjaśnia Idan Dardikman, dyrektor techniczny Koi Security, to właśnie ta droga ataku przyniosła hakerom większość z ukradzionych pieniędzy.
Mechanizm jest diaboliczny w swojej prostocie. Cyberprzestępcy tworzą fałszywe wersje popularnych portfeli kryptowalutowych - MetaMask, Exodus, Rabby Wallet czy TronLink. Wykorzystują przy tym technikę zwaną "Extension Hollowing", dzięki której omijają zabezpieczenia sklepów z aplikacjami.
Początkowo wgrywają nieszkodliwe wersje rozszerzeń, które przechodzą przez kontrolę bezpieczeństwa. Dopiero później, już po publikacji, aktualizują je złośliwym kodem. Co więcej, sami wystawiają fałszywe, pozytywne recenzje, budując pozory wiarygodności.
Skala operacji rośnie
Dane pokazują dramatyczny wzrost aktywności grupy. Podczas poprzedniej kampanii, która trwała od kwietnia do lipca tego roku, wykorzystywali "tylko" 40 rozszerzeń. Teraz mówimy już o 150 złośliwych aplikacjach - to niemal czterokrotny wzrost!
Nie tylko Firefox
GreedyBear nie ogranicza się jednak do przeglądarek. Grupa wykorzystuje również prawie 500 złośliwych programów dla systemu Windows, które umieszcza na rosyjskich stronach oferujących pirackie oprogramowanie. Wśród nich znajdziemy programy wykradające dane logowania, ransomware i trojany.
Dodatkowo, hakerzy stworzyli dziesiątki fałszywych stron internetowych, które udają legalne serwisy kryptowalutowe - portfele cyfrowe, urządzenia sprzętowe czy usługi naprawy portfeli. Celem jest nakłonienie ofiar do wprowadzenia swoich danych osobowych i kodów dostępu do portfeli.
Ciekawy jest podział celów ataku. Kampania Firefox była skierowana głównie przeciwko użytkownikom anglojęzycznym i międzynarodowym, podczas gdy złośliwe programy trafiały przede wszystkim do rosyjskojęzycznych użytkowników.
Jak się chronić?
Eksperci zalecają kilka podstawowych zasad bezpieczeństwa:
Instaluj tylko sprawdzone rozszerzenia od deweloperów z długą historią i pozytywną reputacją. Unikaj jak ognia stron z pirackim oprogramowaniem.
Używaj oficjalnego oprogramowania portfeli, najlepiej nie w formie rozszerzeń przeglądarki. Jeśli poważnie traktujesz inwestycje kryptowalutowe na dłuższą metę, rozważ przejście na portfele sprzętowe.
Kupuj sprzęt tylko z oficjalnych źródeł - GreedyBear tworzy również fałszywe sklepy ze sprzętowymi portfelami kryptowalutowymi, aby wykraść dane płatnicze i dostępy.
Podsumowanie
GreedyBear pokazuje, jak szybko ewoluuje świat cyberprzestępczości kryptowalutowej. W dobie rosnącej popularności cyfrowych aktywów w Polsce, warto być szczególnie ostrożnym. Pamiętaj - w świecie kryptowalut ty jesteś swoim własnym bankiem, a to oznacza, że bezpieczeństwo spoczywa głównie na twoich barkach.
