GreedyBear erbeutet mit breiter Kampagne über eine Million Dollar
Eine neue Dimension organisierter Cyberkriminalität sorgt derzeit für Aufsehen: Die russische Gruppe GreedyBear hat laut Sicherheitsforschern von Koi Security mit einer koordinierten Kampagne einen Millionen-Betrag ergaunert.
Die Gruppe platzierte zunächst unauffällige, scheinbar harmlose Add-ons im offiziellen Firefox-Marktplatz - etwa "YouTube-Downloader" oder "Link-Cleaner". Mit gefälschten Fünf-Sterne-Bewertungen bauten die Täter Vertrauen auf. Später wurden die Erweiterungen ausgehöhlt: Icons und Namen wurden geändert, Schadcode eingeschleust. Ziel war es, Passwörter und Zugangsdaten zu beliebten Krypto-Wallets wie MetaMask oder Exodus direkt über die Add-on-Oberfläche abzugreifen.
Parallel dazu verbreitete GreedyBear fast 500 Schadprogramme, darunter Passwortdiebe, Ransomware und Trojaner. Die meisten stammten von russischen Webseiten, die Raubkopien und gecrackte Software anbieten. Laut den Experten laufen alle Varianten über dieselbe technische Infrastruktur wie die manipulierten Browser-Erweiterungen.
Nahezu alle Domains der Kampagne verweisen auf dieselbe IP-Adresse, die als Steuerzentrale für die gesamte Operation dient. Erste Hinweise deuten darauf hin, dass die Gruppe bereits Tests mit Chrome-Add-ons durchführt - ein mögliches Anzeichen für eine bevorstehende Ausweitung auf weitere Browser.
Die Analyse des Schadcodes zeigt laut Koi Security deutliche Spuren automatisierter, KI-gestützter Entwicklung. Dies ermögliche es Angreifern, in kürzester Zeit neue Varianten ihrer vielfältigen Angriffs-Tools zu generieren. Aufgrund der steigenden Verbreitung von KI-gestützter Programmierung dürften solche breit angelegten Kampagnen zukünftig häufiger werden.
Siehe auch:
Drei Angriffs-Fronten
Während viele Cyberbanden sich auf einen Angriffstyp spezialisieren, setzt GreedyBear auf ein ganzes Arsenal: Über 150 manipulierte Firefox-Erweiterungen, rund 500 bösartige Windows-Programme und ein Netzwerk professionell gestalteter Fake-Websites, die Krypto-Nutzern das Geld aus der Tasche ziehen sollen, kamen bei der Kampagne zum Einsatz.Die Gruppe platzierte zunächst unauffällige, scheinbar harmlose Add-ons im offiziellen Firefox-Marktplatz - etwa "YouTube-Downloader" oder "Link-Cleaner". Mit gefälschten Fünf-Sterne-Bewertungen bauten die Täter Vertrauen auf. Später wurden die Erweiterungen ausgehöhlt: Icons und Namen wurden geändert, Schadcode eingeschleust. Ziel war es, Passwörter und Zugangsdaten zu beliebten Krypto-Wallets wie MetaMask oder Exodus direkt über die Add-on-Oberfläche abzugreifen.
Parallel dazu verbreitete GreedyBear fast 500 Schadprogramme, darunter Passwortdiebe, Ransomware und Trojaner. Die meisten stammten von russischen Webseiten, die Raubkopien und gecrackte Software anbieten. Laut den Experten laufen alle Varianten über dieselbe technische Infrastruktur wie die manipulierten Browser-Erweiterungen.
KI-Code für die Breite
Ein drittes Standbein sind täuschend echte Fake-Websites, die angeblich Hardware-Wallets oder Reparaturdienste für bekannte Marken anbieten. Die professionell gestalteten Seiten sollen Opfer dazu bringen, sensible Daten oder Zahlungsinformationen einzugeben - ein Einfallstor für weiteren Diebstahl.Nahezu alle Domains der Kampagne verweisen auf dieselbe IP-Adresse, die als Steuerzentrale für die gesamte Operation dient. Erste Hinweise deuten darauf hin, dass die Gruppe bereits Tests mit Chrome-Add-ons durchführt - ein mögliches Anzeichen für eine bevorstehende Ausweitung auf weitere Browser.
Die Analyse des Schadcodes zeigt laut Koi Security deutliche Spuren automatisierter, KI-gestützter Entwicklung. Dies ermögliche es Angreifern, in kürzester Zeit neue Varianten ihrer vielfältigen Angriffs-Tools zu generieren. Aufgrund der steigenden Verbreitung von KI-gestützter Programmierung dürften solche breit angelegten Kampagnen zukünftig häufiger werden.
Zusammenfassung
- Russische Gruppe GreedyBear erbeutet über eine Million Dollar mit Kampagne
- Über 150 manipulierte Firefox-Erweiterungen wurden als Angriffsmittel genutzt
- Kriminelle verbreiteten zusätzlich fast 500 Schadprogramme von russischen Webseiten
- Täuschend echte Fake-Websites für Krypto-Hardware waren drittes Standbein
- Sämtliche Domains der Kampagne laufen über dieselbe IP als Steuerzentrale
- Die Analyse zeigt Hinweise auf KI-gestützte Entwicklung des Schadcodes
- Chrome-Add-ons werden offenbar bereits für zukünftige Angriffe getestet
Siehe auch:
Thema:
