根据 Koi Security 的研究,俄罗斯黑客组织 GreedyBear 近期扩大了其攻击规模,利用 150 个“武器化的 Firefox 扩展程序”针对国际和英语用户实施攻击。
Koi Security 在其博客中指出,该组织通过“重新定义工业规模的加密货币盗窃”,在过去五周内使用 150 个恶意 Firefox 扩展程序、近 500 个恶意可执行文件以及“数十个”网络钓鱼网站,成功窃取了超过 100 万美元。
在接受媒体采访时,Koi 首席技术官 Idan Dardikman 表示,Firefox 攻击活动是“迄今为止最有利可图的攻击方式”,为 GreedyBear 带来了大部分收益。
这种攻击策略的核心在于创建热门加密钱包(如 MetaMask、Exodus、Rabby Wallet 和 TronLink)的伪造版本。
GreedyBear 黑客利用“Extension Hollowing”技术绕过市场安全措施,首先上传非恶意扩展程序,随后更新为包含恶意代码的版本。
他们还通过发布虚假评论来提升这些扩展的信任度,误导用户下载。
一旦用户安装了这些恶意扩展程序,其钱包凭证就会被窃取,并被用于盗取加密货币。
除了这一手法外,GreedyBear 还在其行动中引入了其他攻击手段。例如,在今年四月至七月期间,该组织仅使用 40 个扩展程序便进行了小规模测试,如今其规模已大幅扩张。
此外,该组织还分发了近 500 个恶意 Windows 可执行文件,并将其植入俄罗斯盗版软件网站。
这些可执行文件包括凭证窃取器、勒索软件和木马程序,显示出 GreedyBear 拥有“广泛的恶意软件分发渠道,并能灵活调整策略”。
另一个主要手段是创建数十个网络钓鱼网站,伪装成提供合法加密服务的平台,例如数字钱包、硬件设备或钱包维修服务。
这些网站诱使用户输入个人数据和钱包信息,然后利用这些信息窃取资金。
Idan Dardikman 表示:“值得注意的是,Firefox 攻击活动主要针对全球/英语用户,而恶意可执行文件则更多地针对俄语用户。”
尽管攻击手段多样,Koi Security 发现“几乎所有” GreedyBear 攻击域都指向同一个 IP 地址:185.208.156.66。
据称,该地址充当了协调和收集信息的核心枢纽,使 GreedyBear 能够“简化操作”。
Dardikman 指出,单一 IP 地址的存在表明攻击者采用了严格的集中控制模式,而非分布式网络。
“这表明这是一个有组织的犯罪团伙行为,而非国家支持的行动——政府通常会使用分布式基础设施来避免单点故障,”他补充道,“很可能是以盈利为目的的俄罗斯犯罪集团所为。”
Dardikman 认为,GreedyBear 可能将继续扩展其业务范围,但他提出了一些防范建议。
他表示:“只安装来自经过验证且声誉良好的开发商的扩展程序。”他还建议用户避免访问盗版软件网站。
此外,他强调应尽量使用官方钱包软件,而不是浏览器扩展程序。对于长期投资者,他建议不要依赖软件钱包。
“如果持有大量加密货币,请使用硬件钱包,但务必从官方制造商网站购买——GreedyBear 曾创建虚假硬件钱包网站以窃取支付信息和凭证。”