Cybersecurity-Experten von Koi Security haben eine komplexe Betrugsoperation namens GreedyBear aufgedeckt, die durch manipulierte Firefox-Erweiterungen über eine Million US-Dollar an Kryptowährungen gestohlen hat. Die Angreifer setzten dabei 150 scheinbar legitime Browser-Erweiterungen ein, die als bekannte Krypto-Wallets getarnt waren und ahnungslose Nutzer in die Falle lockten.
Raffinierte Täuschungsstrategie umgeht Sicherheitsprüfungen
Die Cyberkriminellen entwickelten eine zweistufige Angriffsmethode, um Mozillas Sicherheitsmechanismen zu umgehen. Zunächst luden sie harmlose Erweiterungen in den offiziellen Mozilla Add-ons Store hoch, die keinerlei schädliche Funktionen enthielten. Diese Strategie ermöglichte es den gefälschten Erweiterungen, die automatisierten Sicherheitskontrollen zu passieren und positive Nutzerbewertungen zu sammeln.
In der zweiten Phase führten die Angreifer einen kompletten Rebranding-Prozess durch. Sie ersetzten Namen, Logos und Beschreibungen der Erweiterungen und implementierten keylogging-Funktionalität zur Datenextraktion. Besonders im Fokus standen dabei populäre Krypto-Wallets wie MetaMask, TronLink, Exodus und Rabby Wallet.
Technische Analyse der Malware-Komponenten
Die in die Erweiterungen eingebettete Schadsoftware funktionierte als hochentwickelter Keylogger mit Formular-Überwachung. Das malware-System erfasste systematisch Benutzereingaben in Formularen und Pop-up-Fenstern, wobei besonders Seed-Phrasen für Wallet-Wiederherstellung und Passwörter im Fokus standen. Alle gesammelten Daten wurden in Echtzeit an die von den Angreifern kontrollierten Command-and-Control-Server übertragen.
Zusätzlich zur Credential-Extraktion sammelte die Malware IP-Adressen der betroffenen Nutzer, was den Cyberkriminellen die Geolokalisierung ihrer Opfer und die Planung gezielter Folgeattacken ermöglichte.
Ausweitung der Kampagne auf weitere Plattformen
Die forensische Analyse der GreedyBear-Infrastruktur offenbarte eine weitreichende Operation, die über den Mozilla-Store hinausging. Forscher identifizierten ein Netzwerk von mehreren Dutzend russischsprachigen Websites, die mit Malware verseuchte Raubkopien von Software verbreiteten.
Die Angreifer etablierten außerdem gefälschte Websites, die offizielle Seiten renommierter Krypto-Wallet-Anbieter wie Trezor und Jupiter Wallet nachahmten. Zusätzlich erstellten sie betrügerische Hardware-Wallet-Reparaturservices. Sämtliche kompromittierten Ressourcen kommunizierten mit dem zentralen Command-Server unter der IP-Adresse 185.208.156[.]66.
KI-gestützte Angriffstechniken
Besonders besorgniserregend ist der Nachweis von künstlicher Intelligenz in der GreedyBear-Operation. Security-Analysten stellten fest, dass KI-Technologien den Cyberkriminellen ermöglichten, ihre Operationen zu skalieren, Malware-Payloads zu diversifizieren und Erkennungssysteme effektiver zu umgehen.
Bedrohungsausweitung auf Chrome-Ökosystem
Sicherheitsforscher warnen vor einer möglichen Ausbreitung der Attacke auf den Chrome Web Store. Bereits wurde eine verdächtige „Filecoin Wallet“-Erweiterung für Chrome entdeckt, die identische Datendiebstahl-Mechanismen verwendet und mit derselben Command-Infrastruktur wie die Firefox-Malware kommuniziert.
Mozilla implementiert verstärkte Sicherheitsmaßnahmen
Nach der Benachrichtigung durch Koi Security entfernte Mozilla umgehend alle identifizierten schädlichen Erweiterungen aus dem offiziellen Store. Im Juni 2024 führte das Unternehmen ein verbessertes Frühwarnsystem für betrügerische Krypto-Erweiterungen ein, das Risikoprofile für jede Wallet-Erweiterung erstellt und Moderatoren automatisch über potenzielle Bedrohungen informiert.
Die GreedyBear-Kampagne verdeutlicht die zunehmende Sophistication von Cyber-Bedrohungen im Kryptowährungsbereich und unterstreicht die kritische Bedeutung der Authentifizierung von Browser-Erweiterungen vor der Installation. Nutzer sollten Krypto-Wallets ausschließlich von den offiziellen Entwickler-Websites herunterladen und installierte Erweiterungen regelmäßig auf verdächtige Aktivitäten überprüfen. Ein proaktiver Ansatz zur digitalen Sicherheit bleibt der effektivste Schutz gegen moderne Cybersecurity-Bedrohungen.
