網絡安全公司Koi Security表示,一項惡意行動通過數百個瀏覽器擴展程序、網站和惡意軟體,採取三重攻擊手段,累計盜取加密貨幣總額超過100萬美元。
Koi Security研究員Tuval Admoni週四表示,該公司將該惡意團伙命名為“GreedyBear”,其“重新定義了工業級別的加密貨幣盜竊模式”。
Admoni指出,大多數團伙只選擇一種手法,可能專注於瀏覽器擴展,或者專注於勒索軟體,或僅經營釣魚詐騙網站,而GreedyBear則選擇三者兼施,並且取得顯著效果。
GreedyBear實施的攻擊手法並非首次出現,但報告強調,網絡犯罪分子現在正採用多種複雜騙局
超過150個假冒加密貨幣瀏覽器擴展
Admoni表示,已有超過100萬美元的加密貨幣被盜,受害者為使用650多種專門針對加密錢包用戶的惡意工具的加密貨幣用戶。
該團伙已在Firefox瀏覽器市場發布了超過150款惡意擴展程序,這些擴展均偽裝成MetaMask、TronLink、Exodus和Rabby Wallet等主流加密錢包。
這些惡意分子採用了“擴展空殼技術(Extension Hollowing)”,首先創建合法擴展以繞過市場審核,隨後將其轉變為惡意擴展。
Admoni解釋稱,這些惡意擴展會直接在假錢包介面的用戶輸入欄中竊取憑證。
“這種方法允許GreedyBear在初始審核過程中通過偽裝成合法的擴展來繞過市場安全,然後利用已經獲得用戶信任和好評的現有擴展。”
網絡安全公司Cyvers的首席執行官Deddy Lavid告訴Cointelegraph,GreedyBear活動“顯示了網絡犯罪分子如何利用用戶對瀏覽器擴展商店的信任。克隆流行的錢包插件,誇大評論,然後悄悄地替換成竊取憑證的惡意軟體。”
在七月初,Koi Security發現了40個惡意Firefox擴展,懷疑是俄羅斯威脅行為者在進行所謂的“Foxy Wallet”活動。
加密貨幣主題的惡意軟體
該團伙攻擊的第二個方面集中在加密貨幣主題的惡意軟體上,Koi Security發現了近500個樣本。
像LummaStealer這樣的憑證竊取者專門針對加密錢包信息,而勒索軟體變種如Luca Stealer則設計為要求加密貨幣支付。
大多數惡意軟體通過提供破解或盜版軟體的俄羅斯網站分發,Admoni說道。
詐騙網站網絡
三重攻擊中的第三個攻擊向量是一組假冒加密貨幣相關產品和服務的虛假網站。
Admoni指出,這些並非典型的仿冒登入入口釣魚頁面,而是外觀精美、偽裝成數字錢包、硬體設備或錢包修復服務的虛假產品頁面。
一台伺服器同時承擔指揮控制、憑證收集、勒索軟體協調和詐騙網站的核心功能,使攻擊者能夠在多個渠道高效協同操作。
該活動還出現了AI生成代碼的跡象,攻擊者能夠快速擴展並多樣化針對加密貨幣的攻擊手段,標誌著以加密貨幣為核心的網絡犯罪進入新階段。
Admoni警告道:“這不是一時的趨勢——而是新的常態。”
Lavid表示,這些攻擊通過在錢包用戶介面直接注入惡意邏輯,利用用戶的操作預期,繞過了靜態防禦措施。他補充說,這凸顯了瀏覽器廠商加強審核、開發者提高透明度以及用戶保持警惕的重要性。