El grupo de hackers rusos GreedyBear robó recientemente más de 1 millón de dólares en criptomonedas mediante la falsificación de billeteras MetaMask

PANews informó el 11 de agosto que según Decrypt, Koi Security, con sede en Estados Unidos e Israel, reportó que el grupo de hackers ruso GreedyBear utilizó 150 "extensiones de Firefox armadas", casi 500 archivos ejecutables maliciosos y "docenas" de sitios web de phishing para robar más de 1 millón de dólares en criptomonedas en las últimas cinco semanas.

El Director de Tecnología (CTO) de Koi, Idan Dardikman, afirmó que los ataques a Firefox fueron "por mucho" su vector de ataque más rentable, representando la mayoría del millón de dólares en ingresos. Esta táctica particular involucró la creación de versiones falsas de billeteras cripto ampliamente descargadas como MetaMask, Exodus, Rabby Wallet y TronLink. Los hackers utilizaron Extension Hollowing para eludir las medidas de seguridad del marketplace al subir inicialmente una versión benigna de la extensión y luego actualizar la aplicación con código malicioso.

El grupo también publica reseñas falsas de extensiones para crear una falsa impresión de confianza y fiabilidad. Una vez descargadas, las extensiones maliciosas roban las credenciales de la billetera, que luego se utilizan para robar criptomonedas. Otro vector de ataque principal para el grupo implica la distribución de casi 500 ejecutables maliciosos de Windows, que se agregan a sitios web rusos que distribuyen software pirateado o reempaquetado. Estos ejecutables incluyen robadores de credenciales, ransomware y Troyanos.