Sajber napad koji je uzdrmao Firefox: GreedyBear kampanja na meti miliona!
Više od 150 zlonamernih ekstenzija našlo se u prodavnici dodataka za Firefox, u okviru sofisticirane kriminalne operacije kodnog imena GreedyBear. Napadači su iskoristili popularnost kripto-novčanika kao što su MetaMask, TronLink i Rabby da bi maskirali malver pod plaštom legitimnih alata.
Iza svega stoji dobro organizovana i tehnički napredna mreža sajber prevaranata koji su, kako navodi firma Koi Security, od korisnika ukrali preko milion dolara, ciljano prateći njihove lozinke, IP adrese i druge poverljive informacije.
Kako su prošli bezbednosne provere?
Maliciozne ekstenzije su prvo objavljivane u "čistoj" verziji, bez zlonamernog koda, što im je omogućilo da prođu bezbednosne provere Mozille. Nakon što su dobile dozvolu, programeri bi ih ažurirali i tiho ubacili malver, menjajući imena i vizuelni identitet.
Da bi povećali kredibilitet, napadači su ubacivali lažne pozitivne recenzije, čime su dodatno zavarali korisnike. Tako su zlonamerne ekstenzije često izgledale identično kao originali - sve do trenutka kada bi pokrenule krađu podataka.
Od keyloggera do profilisanja žrtava
U pozadini, ove ekstenzije su se ponašale kao keyloggeri - beležile sve što korisnik unese u forme i iskačuće prozore unutar pregledača. Informacije su zatim automatski slane serverima pod kontrolom napadača.
Pored lozinki i ličnih podataka, beležene su i IP adrese korisnika, što ukazuje na dodatne aktivnosti praćenja i profilisanja žrtava. Time se otvara prostor za dalje napade, uključujući ciljana krađu identiteta ili finansijskih sredstava.
Lažni sajtovi i piratske mreže
GreedyBear kampanja nije ostala zatvorena samo unutar Firefox ekosistema. Zlonamerni sadržaji distribuirani su i putem piratskih sajtova na ruskom jeziku, kao i preko lažnih verzija sajtova poput Trezora i Jupiter Walleta.
Više od 500 različitih varijanti malvera je zabeleženo - od infostealera, preko trojanaca, pa sve do ransomware-a. Istraživači su sve njih povezali sa jednom IP adresom - 185.208.156.66, koja je služila kao komandno-kontrolni centar kampanje.
Nova meta: Chrome Web Store
Nakon što su kompromitovane ekstenzije uklonjene iz Firefox prodavnice, istraživači upozoravaju da napadači sada pokušavaju da prošire svoju kampanju i na korisnike Google Chrome-a. Prvi znaci sličnog ponašanja već su detektovani.
Zanimljivo je da kod malvera ukazuje na korišćenje veštačke inteligencije, što je napadačima omogućilo da brzo prilagođavaju i distribuiraju nove verzije zlonamernih dodataka, uz minimalni trud i visoku efikasnost.
Kako da se zaštitite od ovakvih prevara:
- Uvek instalirajte ekstenzije sa zvaničnih sajtova projekata, ne sa pretrage.
- Proverite recenzije i broj preuzimanja, ali i ko je izdavač ekstenzije.
- Izbegavajte sve što dolazi sa piratskih sajtova ili foruma nepoznatog porekla.
- Ne ignorišite upozorenja pregledača o sumnjivim aktivnostima ekstenzija.
- Redovno ažurirajte svoj pregledač i koristite antimalver alatke.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.