Bagaimana Ekstensi Peramban Berbahan Senjata GreedyBear Mengompromikan Lebih dari $1M Kepemilikan Kripto

Operasi kriminal siber yang canggih telah diungkap oleh peneliti Koi Security, mengungkapkan kampanye luas yang disusun oleh kelompok ancaman Rusia GreedyBear. Selama periode lima minggu yang berakhir pada Agustus, para penyerang berhasil menyedot lebih dari $1 juta dalam cryptocurrency melalui infrastruktur serangan berlapis.

Senjata: 150 Ekstensi Browser dan 500+ Berkas Berbahaya

Skala operasi ini sangat mencengangkan. GreedyBear menyebarkan 150 ekstensi Firefox yang dipersenjatai, didistribusikan di puluhan situs web penipuan yang dirancang untuk meniru platform resmi. Secara paralel, para peretas mencuri token dari infrastruktur pendukung dengan memanfaatkan hampir 500 berkas eksekusi Windows berbahaya yang diunggah ke repositori perangkat lunak Rusia yang menyimpan aplikasi bajakan dan dikemas ulang. Menurut Idan Dardikman, CTO di Koi Security, serangan berbasis Firefox terbukti menjadi vektor paling menguntungkan, menghasilkan sebagian besar $1 juta hasil rampasan.

Teknik Spoofing Dompet

Mekanisme utama melibatkan pembuatan versi palsu dari dompet cryptocurrency yang populer. Para peretas menargetkan MetaMask, Exodus, Rabby Wallet, dan TronLink—di antara solusi self-custody yang paling banyak digunakan dalam ekosistem crypto.

Para penyerang menggunakan teknik canggih yang disebut Extension Hollowing untuk menghindari tinjauan keamanan pasar. Proses ini berlangsung dalam beberapa tahap: pertama, mereka mengajukan versi ekstensi yang tampak sah ke toko resmi, melewati proses peninjauan awal. Setelah disetujui, aplikasi menerima pembaruan bertahap yang berisi kode berbahaya yang tidak terdeteksi oleh sistem otomatis. Untuk meningkatkan kredibilitas, aktor ancaman memalsukan ulasan pengguna positif, menciptakan ilusi kepercayaan yang mendorong unduhan.

Pencurian Kredensial dan Lainnya

Setelah pengguna yang tidak curiga menginstal ekstensi yang terinfeksi, malware langsung mulai mengumpulkan kredensial dompet dan kunci pribadi. Kredensial akses yang dicuri ini menjadi kunci kerajaan—penyerang kemudian menggunakannya untuk menguras saldo cryptocurrency dari dompet yang terinfeksi.

Selain serangan berbasis browser, berkas eksekusi berbahaya yang didistribusikan di cermin perangkat lunak Rusia berfungsi sebagai mekanisme pengantaran untuk toolkit yang lebih luas termasuk pencuri kredensial, ransomware, dan berbagai varian Trojan. Pendekatan yang beragam ini memastikan banyak jalur untuk mengompromikan sistem target dan mengekstrak data sensitif.

Kampanye ini menyoroti kerentanan kritis dalam rantai keamanan: kepercayaan yang diberikan pengguna pada ekstensi yang tampak resmi dan kemudahan relatif di mana aktor ancaman dapat mengeksploitasi mekanisme pembaruan dari saluran distribusi perangkat lunak yang sah.