LONDON (IT BOLTWISE) – Eine neue Bedrohung namens GreedyBear hat die Welt der Kryptowährungen erschüttert. Durch den Einsatz von über 150 bösartigen Erweiterungen im Firefox-Marketplace wurden mehr als eine Million Dollar in digitalen Vermögenswerten gestohlen.
Die Bedrohung durch GreedyBear zeigt, wie raffiniert Cyberkriminelle vorgehen können, um digitale Vermögenswerte zu stehlen. Diese Kampagne nutzt über 150 bösartige Erweiterungen im Firefox-Marketplace, die sich als beliebte Kryptowährungs-Wallets tarnen. Zu den betroffenen Wallets gehören MetaMask, TronLink, Exodus und Rabby Wallet. Die Angreifer verwenden eine Technik namens Extension Hollowing, um die Sicherheitsmaßnahmen von Mozilla zu umgehen und das Vertrauen der Nutzer auszunutzen.
Die Methode der Angreifer ist besonders hinterhältig: Sie erstellen zunächst harmlose Erweiterungen, die keine Funktionalität haben, um die anfänglichen Überprüfungen zu umgehen. Anschließend posten sie gefälschte positive Bewertungen, um eine Illusion von Glaubwürdigkeit zu schaffen, bevor sie die Erweiterungen mit bösartigen Funktionen ausstatten. Diese gefälschten Erweiterungen erfassen die Wallet-Anmeldedaten der Nutzer und senden sie an einen servergesteuerten Angreifer.
Die Kampagne wird als Erweiterung einer früheren Iteration namens Foxy Wallet angesehen, bei der mindestens 40 bösartige Browser-Erweiterungen für Mozilla Firefox veröffentlicht wurden. Die Zunahme der Anzahl der Erweiterungen zeigt das wachsende Ausmaß der Operation. Neben den gefälschten Wallet-Erweiterungen gibt es auch Kampagnen, die bösartige ausführbare Dateien über russische Websites verteilen, die geknackte und raubkopierte Software anbieten.
Die GreedyBear-Akteure haben auch betrügerische Websites eingerichtet, die sich als Kryptowährungsprodukte und -dienstleistungen ausgeben, um Nutzer dazu zu verleiten, ihre Wallet-Anmeldedaten oder Zahlungsdetails preiszugeben. Koi Security konnte die drei Angriffsvektoren einem einzigen Bedrohungsakteur zuordnen, da die in diesen Bemühungen verwendeten Domains alle auf eine einzige IP-Adresse verweisen: 185.208.156[.]66, die als Command-and-Control-Server für die Datenerfassung und -verwaltung fungiert.
Es gibt Hinweise darauf, dass sich die auf Erweiterungen bezogenen Angriffe auf andere Browser-Marktplätze ausweiten. Dies basiert auf der Entdeckung einer Google Chrome-Erweiterung namens Filecoin Wallet, die denselben Command-and-Control-Server und die zugrunde liegende Logik verwendet, um Anmeldedaten zu stehlen. Die Analyse der Artefakte hat Anzeichen dafür aufgedeckt, dass sie möglicherweise mit KI-gestützten Tools erstellt wurden, was unterstreicht, wie Bedrohungsakteure zunehmend KI-Systeme missbrauchen, um Angriffe in großem Maßstab und mit hoher Geschwindigkeit durchzuführen.
Die Kampagne hat sich weiterentwickelt, der Unterschied liegt nun im Umfang und in der Reichweite: Dies hat sich zu einer plattformübergreifenden Kampagne zur Diebstahl von Anmeldedaten und Vermögenswerten entwickelt, unterstützt von Hunderten von Malware-Beispielen und Betrugsinfrastruktur. Die Offenlegung erfolgt zu einem Zeitpunkt, an dem SentinelOne einen weit verbreiteten und anhaltenden Kryptowährungsbetrug aufgedeckt hat, der darin besteht, einen bösartigen Smart Contract als Trading-Bot zu verteilen, um Benutzer-Wallets zu leeren.
Die Betrügereien werden über YouTube-Videos vermarktet, die die angebliche Natur des Krypto-Trading-Bots erklären und zeigen, wie man einen Smart Contract auf der Remix Solidity Compiler-Plattform bereitstellt. Die Videobeschreibungen teilen einen Link zu einer externen Website, die den bewaffneten Smart Contract-Code hostet. Die Videos sollen KI-generiert sein und werden von alten Konten veröffentlicht, die andere Quellen für Kryptowährungsnachrichten als Playlists posten, um Glaubwürdigkeit aufzubauen.
Ein YouTube-Konto, das den Betrug vorantreibt, wurde im Oktober 2022 erstellt. Dies deutet entweder darauf hin, dass die Betrüger das Konto langsam und stetig aufgebaut haben, um dessen Glaubwürdigkeit zu erhöhen, oder dass sie es von einem Dienst gekauft haben, der solche alten YouTube-Kanäle über Telegram und spezialisierte Websites wie Accs-market und Aged Profiles verkauft. Der Angriff geht in die nächste Phase über, wenn das Opfer den Smart Contract bereitstellt, wonach die Opfer angewiesen werden, ETH an den neuen Vertrag zu senden, was dazu führt, dass die Mittel an eine verschleierte, von Bedrohungsakteuren kontrollierte Wallet geleitet werden.
Die Kombination aus KI-generierten Inhalten und alten YouTube-Konten, die zum Verkauf stehen, bedeutet, dass jeder bescheiden ausgestattete Akteur ein YouTube-Konto erwerben kann, das der Algorithmus als ‘etabliert’ ansieht, und das Konto nutzen kann, um maßgeschneiderte Inhalte unter einem falschen Vorwand von Legitimität zu veröffentlichen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
KI-Risikocontroller Schwerpunkt Tochtergesellschaften & Datenschutz (m/w/d)
Scientific AI Expert with focus on data curation and training
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "GreedyBear: Gefährliche Krypto-Diebstähle durch bösartige Firefox-Erweiterungen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "GreedyBear: Gefährliche Krypto-Diebstähle durch bösartige Firefox-Erweiterungen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »GreedyBear: Gefährliche Krypto-Diebstähle durch bösartige Firefox-Erweiterungen« bei Google Deutschland suchen, bei Bing oder Google News!