俄罗斯黑客组织'GreedyBear'利用伪造的加密货币钱包扩展程序,仅在5周内就窃取了100万美元(约合1.3亿韩元)。根据网络安全公司Coysecurity在11日(当地时间)发布的报告,他们运营了150个恶意火狐浏览器扩展程序,并伪造和传播了MetaMask、Exodus、Rabby Wallet等主要加密货币钱包。
特别值得注意的是他们使用的"扩展程序空洞"技术。他们首先在浏览器商店上传正常的扩展程序,然后后续将其更新为恶意代码,从而绕过安全验证。他们还撰写了虚假评论以提高可信度,使用了极其精细的方法。
与之前4-7月的活动中仅运营40个扩展程序相比,GreedyBear大幅扩大了规模。除了浏览器扩展程序外,他们还通过500多个恶意可执行文件和数十个钓鱼网站进行多角度攻击。
有趣的是,所有攻击域名都连接到单一IP地址(185.208.156.66),显示出中心化的运营结构。专家们将其分析为以追求利润为目的的有组织犯罪,而非国家支持的行为。
Coysecurity的首席技术官伊丹·达尔迪克曼警告称:"火狐浏览器活动主要针对英语用户,因此使用全球DeFi平台的韩国投资者也可能成为攻击目标。"
专家们建议仅安装经过验证的开发者的扩展程序,并在持有大量资产时使用硬件钱包。他们还强调只能在官方制造商网站购买硬件钱包,因为GreedyBear甚至伪造了硬件钱包销售网站。
