俄罗斯黑客组织GreedyBear近几个月来扩大了其行动规模,根据Koi安全公司的研究,他们使用了150个"武器化的Firefox扩展"来针对国际和英语使用者。
在其博客中发布研究结果时,美国和以色列的Koi报告称该组织"重新定义了工业规模的加密货币盗窃",使用了150个武器化的Firefox扩展,近500个恶意可执行文件和"数十个"钓鱼网站,在过去五周内窃取了超过100万美元。
在接受Decrypt采访时,Koi首席技术官伊丹·达迪克曼表示,Firefox活动是"迄今为止"最有利可图的攻击途径,这些攻击"为其赚取了报告中大部分的100万美元"。
这种特殊的伎俩涉及创建广泛下载的加密钱包(如MetaMask、Exodus、Rabby钱包和TronLink)的虚假版本。
GreedyBear操作者使用扩展空心化来绕过市场安全措施,最初上传非恶意版本的扩展,然后更新带有恶意代码的应用。
他们还发布了扩展的虚假评论,给人以值得信赖和可靠的错误印象。
但一旦下载,这些恶意扩展就会窃取钱包凭据,进而用于窃取加密货币
GreedyBear不仅能够在一个多月内使用这种方法窃取100万美元,而且大大扩大了其行动规模,之前的一次活动——在今年4月至7月间活跃——仅涉及40个扩展。
该组织的另一主要攻击方法涉及近500个恶意Windows可执行文件,这些文件已被添加到分发盗版或重新打包软件的俄罗斯网站上。
这些可执行文件包括凭据窃取器、勒索软件和特洛伊木马,Koi安全公司认为这表明"存在一个广泛的恶意软件分发管道,能够根据需要调整策略"。
该组织还创建了数十个钓鱼网站,假装提供合法的加密相关服务,如数字钱包、硬件设备或钱包修复服务。
GreedyBear使用这些网站诱使潜在受害者输入个人数据和钱包凭据,然后用于窃取资金。
"值得一提的是,Firefox活动针对的是更多全球/英语使用者,而恶意可执行文件则针对更多俄语使用者,"伊丹·达迪克曼在接受Decrypt采访时解释道。
尽管攻击方法和目标多样,但Koi还报告称,"几乎所有"GreedyBear攻击域名都链接到同一个IP地址:185.208.156.66。
根据报告,该地址作为协调和收集的中心枢纽,使GreedyBear黑客能够"精简操作"。
达迪克曼表示,单一IP地址意味着"紧密的集中控制",而非分布式网络。
"这表明是有组织的网络犯罪,而非国家赞助——政府操作通常使用分布式基础设施以避免单点故障,"他补充道。"很可能是为牟利的俄罗斯犯罪集团,而非受国家指示。"
达迪克曼表示GreedyBear可能会继续其行动,并提供了几个避免其不断扩大的攻击范围的建议。
"只安装来自有长期历史的已验证开发者的扩展,"他说,并建议用户始终避免盗版软件网站。
他还建议仅使用官方钱包软件,而不是浏览器扩展,尽管他建议如果是严肃的长期投资者,应远离软件钱包。
他说:"对于大额加密货币持仓,使用硬件钱包,但只能从官方制造商网站购买——GreedyBear会创建虚假的硬件钱包网站以窃取支付信息和凭据。"
