Konten Editorial yang Terpercaya, ditinjau oleh para ahli industri terkemuka dan editor berpengalaman. Pengungkapan Iklan
Seorang kelompok kejahatan siber yang disebut “GreedyBear” telah dituduh mencuri lebih dari $1 juta melalui apa yang dikatakan para peneliti sebagai salah satu operasi pencurian crypto yang paling luas yang terlihat dalam beberapa bulan.
Bacaan Terkait: Kembar Winklevoss Menyuntikkan Bitcoin ke Dalam Usaha Pertambangan Terkait TrumpLaporan dari Koi Security mengungkapkan bahwa kelompok tersebut menjalankan kampanye terkoordinasi yang mencampurkan ekstensi peramban berbahaya, malware, dan situs web penipuan — semua dalam satu jaringan.
Ekstensi Menjadi Alat Pencuri Dompet
Alih-alih fokus pada satu metode saja, GreedyBear telah menggabungkan beberapa. Menurut peneliti Koi Security Tuval Admoni, grup tersebut telah menerapkan lebih dari 650 alat jahat dalam upaya terbaru mereka.
Ini menandai kenaikan tajam dari operasi "Foxy Wallet" sebelumnya pada bulan Juli, yang melibatkan 40 ekstensi Firefox.
Taktik kelompok ini, yang disebut "Extension Hollowing," dimulai dengan menerbitkan add-on Firefox yang terlihat bersih seperti pengunduh video atau pembersih tautan.
Ekstensi ini, dirilis di bawah akun penerbit baru, mengumpulkan ulasan positif palsu untuk terlihat dapat dipercaya. Kemudian, mereka ditukar dengan versi jahat yang menyamar sebagai dompet seperti MetaMask, TronLink, Exodus, dan Rabby Wallet.
Setelah diinstal, mereka mengambil kredensial dari kolom input dan mengirimkannya ke server kontrol GreedyBear.
Malware Tersembunyi Dalam Perangkat Lunak Bajakan
Para penyelidik juga telah mengaitkan hampir 500 file Windows berbahaya dengan kelompok yang sama. Banyak di antaranya berasal dari keluarga malware terkenal seperti LummaStealer, ransomware yang mirip dengan Luca Stealer, dan trojan yang bertindak sebagai loader untuk program berbahaya lainnya.
Distribusi sering terjadi melalui situs web berbahasa Rusia yang menyajikan perangkat lunak yang dibobol atau "repacked". Menargetkan mereka yang mencari perangkat lunak gratis, para penyerang menjangkau jauh melampaui komunitas kripto.
Malware modular juga ditemukan oleh Koi Security, di mana operator dapat menambahkan atau menukar fungsi tanpa harus menerapkan file baru sepenuhnya.
Total kapital pasar kripto saat ini $3,9 triliun. Grafik: TradingView### Layanan Kripto Palsu Diciptakan Untuk Mencuri Data
Berdasarkan laporan, selain serangan browser dan malware, GreedyBear telah mendirikan situs web penipuan yang berpura-pura sebagai solusi cryptocurrency yang sah.
Beberapa di antaranya dikatakan menawarkan dompet perangkat keras, dan yang lainnya adalah layanan perbaikan dompet palsu untuk perangkat seperti Trezor.
Bacaan Terkait: Perintah Eksekutif Trump Bisa Menjadi Katalis Besar Berikutnya untuk Bitcoin: CEOJuga ditawarkan adalah aplikasi dompet palsu dengan desain yang menarik yang menipu pengguna untuk memasukkan frasa pemulihan, kunci pribadi, dan informasi pembayaran.
Tidak seperti situs phishing standar yang menyalin halaman login bursa, halaman penipuan ini terlihat lebih seperti portal produk atau dukungan.
Laporan menambahkan bahwa beberapa di antara mereka tetap aktif dan masih mengumpulkan data sensitif, sementara yang lain dalam keadaan siaga untuk digunakan di masa depan.
Para penyelidik menemukan bahwa hampir semua domain yang terkait dengan operasi ini mengarah kembali ke satu alamat IP — 185.208.156.66. Server ini berfungsi sebagai pusat kampanye, menangani kredensial yang dicuri, mengoordinasikan aktivitas ransomware, dan menjadi tuan rumah situs penipuan.
Gambar unggulan dari Unsplash, grafik dari TradingView
Proses Editorial untuk bitcoinist berfokus pada penyampaian konten yang telah diteliti dengan baik, akurat, dan tidak bias. Kami menjunjung tinggi standar sumber yang ketat, dan setiap halaman menjalani tinjauan yang teliti oleh tim ahli teknologi terkemuka dan editor berpengalaman kami. Proses ini memastikan integritas, relevansi, dan nilai konten kami untuk pembaca kami.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Pencuri Kripto yang Dijuluki ‘GreedyBear’ Menjalankan Penipuan Skala Industri - Detail
Bacaan Terkait: Kembar Winklevoss Menyuntikkan Bitcoin ke Dalam Usaha Pertambangan Terkait TrumpLaporan dari Koi Security mengungkapkan bahwa kelompok tersebut menjalankan kampanye terkoordinasi yang mencampurkan ekstensi peramban berbahaya, malware, dan situs web penipuan — semua dalam satu jaringan.
Ekstensi Menjadi Alat Pencuri Dompet
Alih-alih fokus pada satu metode saja, GreedyBear telah menggabungkan beberapa. Menurut peneliti Koi Security Tuval Admoni, grup tersebut telah menerapkan lebih dari 650 alat jahat dalam upaya terbaru mereka.
Ini menandai kenaikan tajam dari operasi "Foxy Wallet" sebelumnya pada bulan Juli, yang melibatkan 40 ekstensi Firefox.
Taktik kelompok ini, yang disebut "Extension Hollowing," dimulai dengan menerbitkan add-on Firefox yang terlihat bersih seperti pengunduh video atau pembersih tautan.
Ekstensi ini, dirilis di bawah akun penerbit baru, mengumpulkan ulasan positif palsu untuk terlihat dapat dipercaya. Kemudian, mereka ditukar dengan versi jahat yang menyamar sebagai dompet seperti MetaMask, TronLink, Exodus, dan Rabby Wallet.
Setelah diinstal, mereka mengambil kredensial dari kolom input dan mengirimkannya ke server kontrol GreedyBear.
Malware Tersembunyi Dalam Perangkat Lunak Bajakan
Para penyelidik juga telah mengaitkan hampir 500 file Windows berbahaya dengan kelompok yang sama. Banyak di antaranya berasal dari keluarga malware terkenal seperti LummaStealer, ransomware yang mirip dengan Luca Stealer, dan trojan yang bertindak sebagai loader untuk program berbahaya lainnya.
Distribusi sering terjadi melalui situs web berbahasa Rusia yang menyajikan perangkat lunak yang dibobol atau "repacked". Menargetkan mereka yang mencari perangkat lunak gratis, para penyerang menjangkau jauh melampaui komunitas kripto.
Malware modular juga ditemukan oleh Koi Security, di mana operator dapat menambahkan atau menukar fungsi tanpa harus menerapkan file baru sepenuhnya.
Berdasarkan laporan, selain serangan browser dan malware, GreedyBear telah mendirikan situs web penipuan yang berpura-pura sebagai solusi cryptocurrency yang sah.
Beberapa di antaranya dikatakan menawarkan dompet perangkat keras, dan yang lainnya adalah layanan perbaikan dompet palsu untuk perangkat seperti Trezor.
Bacaan Terkait: Perintah Eksekutif Trump Bisa Menjadi Katalis Besar Berikutnya untuk Bitcoin: CEOJuga ditawarkan adalah aplikasi dompet palsu dengan desain yang menarik yang menipu pengguna untuk memasukkan frasa pemulihan, kunci pribadi, dan informasi pembayaran.
Tidak seperti situs phishing standar yang menyalin halaman login bursa, halaman penipuan ini terlihat lebih seperti portal produk atau dukungan.
Laporan menambahkan bahwa beberapa di antara mereka tetap aktif dan masih mengumpulkan data sensitif, sementara yang lain dalam keadaan siaga untuk digunakan di masa depan.
Para penyelidik menemukan bahwa hampir semua domain yang terkait dengan operasi ini mengarah kembali ke satu alamat IP — 185.208.156.66. Server ini berfungsi sebagai pusat kampanye, menangani kredensial yang dicuri, mengoordinasikan aktivitas ransomware, dan menjadi tuan rumah situs penipuan.
Gambar unggulan dari Unsplash, grafik dari TradingView