قامت مجموعة القرصنة الروسية بزيادة عملياتها في الأشهر الأخيرة ، وذلك باستخدام 150 “امتدادات Firefox الأسلحة” لاستهداف الضحايا الدوليين والإنجليزية ، وفقًا لبحث من KOI Security.
نشر نتائج أبحاثها في مدونة ، الولايات المتحدة ومقرها إسرائيل ذكرت كوي أن المجموعة لديها “سرقة تشفير صناعية على نطاق الصناعي” ، باستخدام 150 تمديدًا من Firefox ، ما يقرب من 500 شركة تنفيذية ضارة و “عشرات” من مواقع التصيد لسرقة أكثر من مليون دولار خلال الأسابيع الخمسة الماضية.
التحدث إلى فك تشفيرقال Koi Cto Idan Dardikman إن حملة Firefox “إلى حد بعيد” متجهها الأكثر ربحًا ، حيث “اكتسبهم معظم مليون دولار أبلغ عن حد ذاته”.
تتضمن هذه الحيلة المعينة إنشاء إصدارات مزيفة من محافظ التشفير التي تم تنزيلها على نطاق واسع مثل Metamask و Exodus و Rabby Wallet و Tronlink.
يستخدم عملاء Greedybear تمديدًا تجويفًا لتجاوز التدابير الأمنية في السوق ، مما يؤدي في البداية إلى تحميل الإصدارات غير التميلية من الامتدادات ، قبل تحديث التطبيقات بالرمز الضار.
كما أنها تنشر مراجعات مزيفة للإضافات ، مع إعطاء انطباع خاطئ عن الثقة والموثوقية.
ولكن بمجرد التنزيل ، فإن الامتدادات الضارة تسرق بيانات اعتماد المحفظة ، والتي بدورها تستخدم لسرقة التشفير
لم يتمكن الجشع من سرقة مليون دولار فقط في أكثر من شهر بقليل باستخدام هذه الطريقة ، ولكنهم قاموا بتشكيل حجم عملياتهم بشكل كبير ، مع حملة سابقة –نشط بين أبريل ويوليو من هذا العام– إبطال 40 امتداد فقط.
تتضمن طريقة الهجوم الأساسي الأخرى للمجموعة ما يقرب من 500 شركة تنفيذية لـ Windows ، والتي أضافتها إلى مواقع الويب الروسية التي توزع البرامج المقرصنة أو التي تم إعادة تعبئتها.
وتشمل هذه المواد التنفيذية سرقة بيانات الاعتماد وبرامج Ransomware و Trojans ، والتي يقترحها أمان KOI تشير إلى “خط أنابيب واسع لتوزيع البرامج الضارة ، قادر على تغيير التكتيكات حسب الحاجة.”
قامت المجموعة أيضًا بإنشاء عشرات مواقع الخداع ، والتي تتظاهر بأنها تقدم خدمات مشروعة متعلقة بالتشفير ، مثل المحافظ الرقمية أو أجهزة الأجهزة أو خدمات إصلاح المحفظة.
يستخدم GreedyBear هذه المواقع الإلكترونية لإقناع الضحايا المحتملين بإدخال بيانات اعتماد البيانات الشخصية وأوراق اعتماد المحفظة ، والتي تستخدمها بعد ذلك لسرقة الأموال.
“تجدر الإشارة إلى أن حملة Firefox استهدفت المزيد من الضحايا العالميين/الناطقين باللغة الإنجليزية ، بينما استهدفت المسؤولون الخبيثون المزيد من الضحايا الناطقين بالروسية” ، يوضح Idan Dardikman ، متحدثًا إلى فك تشفير.
على الرغم من مجموعة متنوعة من أساليب الهجوم والأهداف ، تشير KOI أيضًا إلى أن مجالات هجوم الجشع “تقريبًا” ترتبط بعنوان IP واحد: 185.208.156.66.
وفقًا للتقرير ، يعمل هذا العنوان كمحور مركزي للتنسيق والتجميع ، مما يتيح المتسللين الجشعين “لتبسيط العمليات”.
قال Dardikman إن عنوان IP واحد “يعني التحكم المركزي الضيق” بدلاً من شبكة موزعة.
وأضاف: “هذا يشير إلى أن الجرائم الإلكترونية المنظمة بدلاً من أن عمليات الحكم – الحكومية الحكومية تستخدم عادة البنية التحتية الموزعة لتجنب نقاط الفشل المفردة”. “من المحتمل أن تعمل الجماعات الجنائية الروسية من أجل الربح ، وليس توجيه الدولة”.
قال Dardikman إن Greedybear من المرجح أن يواصل عملياته وعرض عدة نصائح لتجنب وصولهم المتوسع.
وقال “فقط تثبيت الامتدادات من المطورين الذين تم التحقق من تاريخ طويل” ، مضيفًا أنه يجب على المستخدمين دائمًا تجنب مواقع البرمجيات المقرصنة.
كما أوصى باستخدام برنامج المحفظة الرسمية فقط ، وليس ملحقات المتصفح ، على الرغم من أنه نصح بالابتعاد عن محافظ البرامج إذا كنت مستثمرًا طويلًا على المدى الطويل.
وقال: “استخدم محافظ الأجهزة لمقتنيات تشفير كبيرة ، ولكن الشراء فقط من مواقع الويب المصنعة الرسمية – GreedyBear يخلق مواقع محفظة أجهزة مزيفة لسرقة معلومات الدفع وبيانات الاعتماد.”