En russisk hackinggruppe bruger falske versioner af MetaMask til at stjæle over $1 million i kryptovaluta

GreedyBear’s Udvidede Operationer

Den russiske hackinggruppe GreedyBear har udvidet sine operationer i de seneste måneder og bruger 150 “våbeniserede Firefox-udvidelser” til at målrette internationale og engelsktalende ofre, ifølge forskning fra Koi Security. I en blog, hvor de offentliggør resultaterne af deres forskning, rapporterede Koi, der er baseret i USA og Israel, at gruppen har “omdefineret industrielt skala kryptotyveri” ved at bruge disse udvidelser, næsten 500 ondsindede eksekverbare filer og “dutzinder” af phishing-websteder til at stjæle over $1 million inden for de sidste fem uger.

Angrebsmetoder og Taktikker

I et interview med Decrypt sagde Koi’s CTO Idan Dardikman, at Firefox-kampagnen er “langt den mest lukrative angrebsmetode”, da den “har givet dem det meste af de $1 million, der er rapporteret af dem selv.” Denne specifikke taktik involverer at skabe falske versioner af bredt downloadede kryptovaluta-tegnebøger som MetaMask, Exodus, Rabby Wallet og TronLink.

GreedyBear-operatører bruger Extension Hollowing til at omgå sikkerhedsforanstaltningerne på markedspladserne ved først at uploade ikke-ondsindede versioner af udvidelserne, før de opdaterer apps med ondsindet kode. De poster også falske anmeldelser af udvidelserne, hvilket giver et falsk indtryk af tillid og pålidelighed. Men når de er downloadet, stjæler de ondsindede udvidelser tegnebogens legitimationsoplysninger, som derefter bruges til at stjæle kryptovaluta.

GreedyBear har ikke kun været i stand til at stjæle over $1 million på lidt over en måned ved hjælp af denne metode, men de har også betydeligt øget omfanget af deres operationer, idet en tidligere kampagne – aktiv mellem april og juli i år – kun involverede 40 udvidelser.

Phishing og Malware Distribution

Gruppens anden primære angrebsmetode involverer næsten 500 ondsindede Windows-eksekverbare filer, som de har tilføjet til russiske websteder, der distribuerer piratkopieret eller repakket software. Sådanne eksekverbare filer inkluderer legitimationsoplysninger, ransomware-software og trojanere, som Koi Security antyder indikerer “en bred malware-distributionspipeline, der er i stand til at ændre taktik efter behov.”

Gruppen har også oprettet dusinvis af phishing-websteder, der foregiver at tilbyde legitime kryptorelaterede tjenester, såsom digitale tegnebøger, hardware-enheder eller reparationstjenester til tegnebøger. GreedyBear bruger disse websteder til at lokke potentielle ofre til at indtaste personlige data og tegnebogens legitimationsoplysninger, som de derefter bruger til at stjæle midler.

“Det er værd at nævne, at Firefox-kampagnen målrettede mere globale/engelsktalende ofre, mens de ondsindede eksekverbare filer målrettede mere russisk talende ofre,” forklarer Idan Dardikman i et interview med Decrypt.

Centraliseret Kontrol og Fremtidige Operationer

På trods af variationen i angrebsmetoder og mål rapporterer Koi også, at “næsten alle” GreedyBear-angrebsdomæner linker tilbage til en enkelt IP-adresse: 185.208.156.66. Ifølge rapporten fungerer denne adresse som et centralt hub for koordinering og indsamling, hvilket gør det muligt for GreedyBear-hackerne “at strømline operationerne.”

Dardikman sagde, at en enkelt IP-adresse “betyder stram centraliseret kontrol” snarere end et distribueret netværk. “Dette antyder organiseret cyberkriminalitet snarere end statslig sponsoreret – regeringsoperationer bruger typisk distribueret infrastruktur for at undgå enkeltpunkter af fejl,” tilføjede han. “Sandsynligvis russiske kriminelle grupper, der opererer for profit, ikke statslig retning.”

Forebyggelse og Sikkerhedstips

Dardikman sagde, at GreedyBear sandsynligvis vil fortsætte sine operationer og gav flere tips til at undgå deres voksende rækkevidde. “Installer kun udvidelser fra verificerede udviklere med lange historikker,” sagde han og tilføjede, at brugere altid bør undgå piratkopierede softwarewebsteder. Han anbefalede også kun at bruge officiel tegnebogsoftware og ikke browserudvidelser, selvom han rådede til at bevæge sig væk fra softwaretegnebøger, hvis man er en seriøs langsigtet investor.

Han sagde: “Brug hardwaretegnebøger til betydelige kryptovaluta-beholdninger, men køb kun fra officielle producentwebsteder – GreedyBear opretter falske hardwaretegnebøger for at stjæle betalingsoplysninger og legitimationsoplysninger.”

Relaterede indlæg

Seneste fra Blog

Hybrid L2 BOB rejser $9,5 millioner i den seneste finansieringsrunde for at fremme Bitcoin DeFi-udvikling

Build on Bitcoin (BOB) Rejser $21 Millioner Build on Bitcoin (BOB), en hybrid Layer 2 (L2) blockchain, har med succes rejst i alt $21 millioner gennem en række strategiske finansieringsrunder siden december

Embargo ransomware-gruppen har flyttet 34 millioner USD i kryptovaluta siden april: TRM Labs

Introduktion til Embargo En relativt ny ransomware-gruppe kendt som Embargo er blevet en nøglespiller i cyberkriminalitetens undergrund og har flyttet over 34 millioner USD i kryptovaluta-relaterede løsesummer siden april 2024. Embargo opererer

Forståelse af SEC’s opdatering i august 2025 vedrørende kryptovaluta-staking

SEC’s Medarbejdererklæring om Likvid Staking Den amerikanske Securities and Exchange Commission (SEC) udsendte den 5. august 2025 en medarbejdererklæring fra Division of Corporation Finance, der adresserer visse aktiviteter inden for likvid staking.

Indien opdager kryptoskattunddragelse—Over 44.000 meddelelser sendt til investorer

Indien iværksætter skattekontrolkampagne for kryptovaluta Indien har iværksat en massiv skattekontrolkampagne for kryptovaluta, der retter sig mod titusinder af investorer og afdækker hundredvis af crores i skjult indkomst gennem avanceret datadrevet overvågning.

Ethereum Markedsværdi Stabiliserer Sig Over $500 Milliarder: Nærmer Sig Investeringsgrænse For Nogle US Stater

Ethereum’s Markedsværdi og Offentlige Investeringer Da den samlede markedsværdi af Ethereum nu overstiger $500 milliarder, har den preliminært nået den offentlige fonds investeringsgrænse for flere stater i USA. Lovgivning i USA New

Michael Saylor overrasker med episk ‘Indiana Jones’-inspireret Bitcoin-besked

Michael Saylor og Bitcoin Michael Saylor, medstifter af Strategy og en fremtrædende Bitcoin-evangelist, har igen taget til sit X-konto for at dele en ny besked om Bitcoin. For nylig har Saylor anvendt

Bitcoin-investeringsbanker kommer til El Salvador — Regeringsregulator

Reguleret Bitcoin Flere investeringsbanker er på vej til El Salvador efter torsdagens godkendelse af El Salvadors Investeringsbanklov, som klassificerer investeringsbanker under forskellige regler end kommercielle banker. Investeringsbanker vil nu have lov til

Næste Uges Makro Udsigt: CPI- og PPI-data På Vej, ‘Krypto-venlig’ Fed Guvernør Tiltræder

Vigtige Makroøkonomiske Data og Begivenheder De vigtigste makroøkonomiske data og begivenheder, der vil blive offentliggjort i næste uge, er som følger: Tirsdag US CPI-data for juli FOMC-møde i 2027 Richmond Fed-præsident Barkins

Acacia Research og partnere udvikler bitcoin-understøttet kommerciel lånestrategi

Acacia Research Annoncerer Partnerskab for Bitcoin-Understøttede Lån Acacia Research (Nasdaq: ACTG), et børsnoteret selskab med fokus på at erhverve og drive virksomheder inden for industri-, energi- og teknologisektorerne, har annonceret et partnerskab

Brasiliansk Drex CBDC Opgiver Blockchain for at Lancere Næste År

Brasiliansk Centralbank Opgiver Decentral Element af CBDC Ifølge lokale medier måtte den brasilianske centralbank opgive det decentrale element af CBDC’en for at kunne levere en løsning i 2026. Dette skyldes delvist umodenheden