تم اختراق أكثر من مليون دولار: حملة هجمات المتصفح المتطورة لـ GreedyBear

تمكنت مجموعة القراصنة الروسية GreedyBear من تنفيذ عملية سرقة عملات رقمية ضخمة على مدى الأسابيع الخمسة الماضية، حيث تجاوزت الخسائر مليون دولار، وفقًا لتقرير أمني حديث من شركة Koi Security. استخدم المهاجمون ترسانة من 150 ملحق فايرفوكس معدّل، وحوالي 500 ملف تنفيذي ضار لنظام ويندوز، وعشرات صفحات التصيد لتنفيذ استراتيجيتهم في الهجوم.

استغلال ملحقات المتصفح: المحرك الرئيسي للإيرادات

ثبت أن حملة ملحقات فايرفوكس كانت الطريقة الأكثر ربحية للمجموعة، حيث أنتجت غالبية المبلغ الذي تم سرقته والذي بلغ مليون دولار. تعتمد منهجية الهجوم على تقنية خادعة تسمى Extension Hollowing، والتي تتجاوز بروتوكولات أمان متجر التطبيقات. يبدأ القراصنة بتحميل نسخ تبدو شرعية من محافظ العملات الرقمية الشهيرة — بما في ذلك MetaMask و Exodus و Rabby Wallet و TronLink — إلى قنوات التوزيع. بمجرد أن يقوم المستخدمون بتنزيل هذه الملحقات، تقوم التحديثات اللاحقة بحقن رمز خبيث في التطبيقات.

لزيادة المصداقية، تقوم المجموعة بتضخيم تقييمات المستخدمين بشكل مصطنع من خلال مراجعات إيجابية مزيفة، مما يخلق وهمًا زائفًا بالشرعية. تعزز هذه الطبقة من الهندسة الاجتماعية بشكل كبير معدلات التنزيل بين مستخدمي العملات الرقمية غير الحذرين. بمجرد التثبيت، تعمل الملحقات المخترقة كأدوات لجمع بيانات الاعتماد، حيث تلتقط بصمتها سرًا مفاتيح المحافظ الخاصة وبيانات الوصول. ثم تُستخدم هذه البيانات المسروقة كسلاح لتفريغ ممتلكات العملات الرقمية من محافظ الضحايا.

بنية هجوم متنوعة

إلى جانب التهديدات المستندة إلى المتصفح، تدير GreedyBear تيار هجوم موازٍ باستخدام ما يقرب من 500 ملف تنفيذي ضار لنظام ويندوز. يتم توزيع هذه الملفات بشكل استراتيجي عبر مستودعات البرامج الروسية التي تستضيف تطبيقات مقرصنة أو معدلة. تخدم الملفات التنفيذية أغراضًا متعددة: بعضها يعمل كأدوات لسرقة بيانات الاعتماد المستهدفة للمعلومات المخزنة، والبعض الآخر ينشر برامج الفدية لتشفير بيانات الضحية، والعديد منها يعمل كتروجان لإنشاء وصول مستمر إلى النظام.

يوضح هذا النهج متعدد الطبقات تخطيطًا عملياتيًا متطورًا، مما يسمح للمجموعة بالحفاظ على عدة قنوات عدوى والتكيف مع التدابير الأمنية التي تتبعها المستخدمون والمنصات.