Menurut PANews, laporan oleh Koi Security mengungkapkan bahwa kelompok peretas Rusia GreedyBear telah mencuri lebih dari $1 juta dalam cryptocurrency selama lima minggu terakhir. Kelompok ini menggunakan 150 ekstensi Firefox yang dipersenjatai, hampir 500 file eksekusi berbahaya, dan banyak situs phishing untuk melaksanakan operasi mereka.
Chief Technology Officer Koi Security, Idan Dardikman, menyatakan bahwa serangan ekstensi Firefox telah menjadi metode paling menguntungkan bagi para peretas sejauh ini, yang berkontribusi signifikan terhadap pencurian $1 juta. Strategi ini melibatkan pembuatan versi palsu dari dompet cryptocurrency populer seperti MetaMask, Exodus, Rabby Wallet, dan TronLink. Para peretas menggunakan teknik yang dikenal sebagai Extension Hollowing untuk melewati langkah-langkah keamanan pasar, awalnya mengunggah versi non-malicious dari ekstensi dan kemudian memperbaruinya dengan kode berbahaya.
Untuk lebih menipu pengguna, kelompok tersebut memposting ulasan palsu tentang ekstensi, menciptakan rasa percaya dan keandalan yang salah. Setelah diunduh, ekstensi berbahaya ini akan mencuri kredensial dompet, memungkinkan para peretas untuk mengakses dan mencuri cryptocurrency.
Taktik besar lainnya yang digunakan oleh kelompok ini melibatkan hampir 500 file eksekusi Windows berbahaya, yang didistribusikan di situs web Rusia yang menawarkan perangkat lunak bajakan atau kemasan ulang. File eksekusi ini termasuk pencuri kredensial, ransomware, dan trojan, yang semakin memperluas jangkauan dan dampak kelompok tersebut.