Nhóm tác nhân đe dọa có tên là GreedyBear đã thực hiện một chiến dịch GreedyBear quy mô công nghiệp, kết hợp các tiện ích mở rộng trình duyệt độc hại, phần mềm thực thi và cơ sở hạ tầng lừa đảo nhằm đánh cắp hơn 1 triệu USD tiền điện tử từ các nạn nhân. Đây là một mối đe dọa mạng phức tạp và có tổ chức cao.

Tổng Quan Chiến Dịch GreedyBear

Cuộc tấn công phối hợp này, được các nhà nghiên cứu của Koi Security phát hiện, đã tận dụng một số lượng công cụ tấn công đáng kinh ngạc: 650 công cụ, bao gồm 150 tiện ích mở rộng Firefox có vũ khí hóa và gần 500 tệp thực thi Windows độc hại. Điều này cho thấy một mức độ tinh vi tương đương các công ty Fortune 500, tích hợp nhiều véc-tơ tấn công khác nhau thành một cỗ máy trộm cắp thống nhất và hiệu quả.

Không giống như các tội phạm mạng truyền thống thường chuyên về các chiến thuật hẹp như ransomware hoặc lừa đảo đơn lẻ, phương pháp tiếp cận của GreedyBear kết hợp đánh cắp thông tin đăng nhập, triển khai ransomware và các trang web lừa đảo. Tất cả đều được đổ về một máy chủ điều khiển và chỉ huy (C2) tập trung để tối ưu hóa việc lấy dữ liệu và kiếm tiền.

Kỹ Thuật Tấn Công Đa Véc-tơ của GreedyBear

Kỹ Thuật “Extension Hollowing”

Đổi mới cốt lõi của chiến dịch GreedyBear nằm ở kỹ thuật “Extension Hollowing”. Phương pháp này vượt qua các giao thức bảo mật của thị trường bằng cách ban đầu tải lên các tiện ích mở rộng Firefox vô hại. Ví dụ, chúng có thể là các công cụ làm sạch liên kết cơ bản hoặc trình tải xuống YouTube, được đăng tải dưới các tài khoản nhà xuất bản mới.

Các công cụ ban đầu không gây hại này tích lũy các đánh giá tích cực giả mạo để xây dựng lòng tin giả. Sau đó, những kẻ tấn công sẽ “đục rỗng” chúng, tiêm mã độc để mạo danh các ví tiền điện tử hợp pháp như MetaMask, TronLink, Exodus và Rabby.

Các tiện ích mở rộng đã bị sửa đổi sẽ thu thập thông tin đăng nhập ví từ các trường nhập liệu của người dùng trong giao diện bật lên. Dữ liệu này, cùng với địa chỉ IP của nạn nhân, được gửi về một trung tâm C2 từ xa.

Sự phát triển này từ chiến dịch Foxy Wallet trước đây của nhóm (vốn chỉ có 40 tiện ích mở rộng) đã tăng hơn gấp đôi về quy mô. Nó còn tích hợp các mã được tạo bằng AI, giúp tăng tốc đa dạng hóa tải trọng và khả năng né tránh các cơ chế phát hiện.

Các nhà nghiên cứu lưu ý rằng việc mở rộng quy mô được hỗ trợ bởi AI như vậy cho phép thích ứng nhanh chóng. Điều này đánh dấu một sự chuyển dịch sang các hoạt động mạng tự động, khối lượng lớn, thách thức các hệ thống chống vi-rút truyền thống và quy trình kiểm duyệt của các cửa hàng ứng dụng. Xem chi tiết tại Koi Security Blog.

Mã độc Thực Thi và Ransomware

Bổ sung cho các cuộc tấn công dựa trên tiện ích mở rộng, GreedyBear còn triển khai gần 500 tệp thực thi độc hại thuộc các họ như LummaStealer. Mã độc này được sử dụng để đánh cắp thông tin đăng nhập.

Ngoài ra, ransomware lấy cảm hứng từ Luca Stealer được sử dụng để mã hóa tệp và đòi tiền chuộc bằng tiền điện tử. Các trojan này được phân phối qua các trang web của Nga cung cấp phần mềm bẻ khóa (cracked software).

Chúng thể hiện khả năng tải module, cho phép thay đổi chiến thuật linh hoạt trong khi tái sử dụng cơ sở hạ tầng backend sẵn có. Đây là một chiến lược hiệu quả trong các cuộc tấn công mạng.

Các Trang Web Lừa đảo (Scam Sites)

Hàng chục trang web lừa đảo khác khuếch đại mối đe dọa, mạo danh các sản phẩm tiền điện tử. Ví dụ, chúng giả làm ví cứng mang thương hiệu Jupiter hoặc dịch vụ sửa chữa Trezor.

Những trang web này, với giao diện người dùng giả mạo, lừa người dùng tiết lộ thông tin đăng nhập hoặc chi tiết thanh toán. Điều này có khả năng cho phép gian lận thứ cấp, chẳng hạn như khai thác thẻ tín dụng.

Cơ sở Hạ tầng Điều khiển và Chỉ huy (C2) Tập trung

Tất cả các yếu tố của chiến dịch GreedyBear đều hội tụ tại một địa chỉ IP duy nhất: 185.208.156.66. Địa chỉ này đóng vai trò là C2 hợp nhất để thu thập dữ liệu, điều phối ransomware và lưu trữ trang web.

Điều này nhấn mạnh hiệu quả hoạt động của nhóm và gợi ý khả năng mở rộng ngoài Firefox sang Chrome và các hệ sinh thái khác. Bằng chứng là một tiện ích mở rộng độc hại “Filecoin Wallet” có liên kết.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch GreedyBear bao gồm:

• Địa chỉ IP C2:185.208.156.66
• Các ví tiền điện tử bị mạo danh: MetaMask, TronLink, Exodus, Rabby
• Các họ mã độc: LummaStealer, ransomware lấy cảm hứng từ Luca Stealer
• Các sản phẩm bị lừa đảo: Ví cứng Jupiter, dịch vụ sửa chữa Trezor

Tác động và Xu hướng Phát triển của Mối Đe Dọa

Hoạt động của GreedyBear báo hiệu một sự thay đổi mô hình trong tội phạm mạng. Công cụ AI trao quyền cho những kẻ tấn công để mở rộng quy mô các cuộc tấn công với tốc độ chưa từng có, pha trộn việc khai thác mã nguồn mở với cơ sở hạ tầng giống doanh nghiệp. Đây là một mối lo ngại lớn về an ninh mạng.

Sự phát triển của GreedyBear từ các lỗ hổng Foxy Wallet thành một mối đe dọa đa nền tảng có khả năng nhắm mục tiêu Edge và hơn thế nữa. Điều này làm nổi bật các lỗ hổng trong các cửa hàng tiện ích trình duyệt và sự cần thiết của các công cụ quản trị tiên tiến để ngăn chặn chiếm quyền điều khiển.

Nền tảng của Koi Security, tự động đánh giá rủi ro trên các tiện ích mở rộng, kho lưu trữ và mã của bên thứ ba, nổi lên như một biện pháp phòng thủ quan trọng. Nó đã được các công ty Fortune 50 tin cậy.

Như danh mục IDE Extensions mới của MITRE nhấn mạnh, việc bảo mật mã không đáng tin cậy là tối quan trọng. GreedyBear là một ví dụ điển hình về cách những kẻ tấn công khai thác những điểm mù này để kiếm lợi tài chính lớn.