俄羅斯駭客組織GreedyBear近幾個月來擴大了其行動規模,根據Koi安全公司的研究,他們使用了150個"武器化的Firefox擴充套件"來針對國際和英語使用者。
在其部落格中釋出研究結果時,美國和以色列的Koi報告稱該組織"重新定義了工業規模的加密貨幣盜竊",使用了150個武器化的Firefox擴充套件,近500個惡意可執行檔案和"數十個"釣魚網站,在過去五週內竊取了超過100萬美元。
在接受Decrypt採訪時,Koi首席技術官伊丹·達迪克曼表示,Firefox活動是"迄今為止"最有利可圖的攻擊途徑,這些攻擊"為其賺取了報告中大部分的100萬美元"。
這種特殊的伎倆涉及建立廣泛下載的加密錢包(如MetaMask、Exodus、Rabby錢包和TronLink)的虛假版本。
GreedyBear操作者使用擴充套件空心化來繞過市場安全措施,最初上傳非惡意版本的擴充套件,然後更新帶有惡意程式碼的應用。
他們還發布了擴充套件的虛假評論,給人以值得信賴和可靠的錯誤印象。
但一旦下載,這些惡意擴充套件就會竊取錢包憑據,進而用於竊取加密貨幣
GreedyBear不僅能夠在一個多月內使用這種方法竊取100萬美元,而且大大擴大了其行動規模,之前的一次活動——在今年4月至7月間活躍——僅涉及40個擴充套件。
該組織的另一主要攻擊方法涉及近500個惡意Windows可執行檔案,這些檔案已被新增到分發盜版或重新打包軟體的俄羅斯網站上。
這些可執行檔案包括憑據竊取器、勒索軟體和特洛伊木馬,Koi安全公司認為這表明"存在一個廣泛的惡意軟體分發管道,能夠根據需要調整策略"。
該組織還建立了數十個釣魚網站,假裝提供合法的加密相關服務,如數字錢包、硬體裝置或錢包修復服務。
GreedyBear使用這些網站誘使潛在受害者輸入個人資料和錢包憑據,然後用於竊取資金。
"值得一提的是,Firefox活動針對的是更多全球/英語使用者,而惡意可執行檔案則針對更多俄語使用者,"伊丹·達迪克曼在接受Decrypt採訪時解釋道。
儘管攻擊方法和目標多樣,但Koi還報告稱,"幾乎所有"GreedyBear攻擊域名都連結到同一個IP地址:185.208.156.66。
根據報告,該地址作為協調和收集的中心樞紐,使GreedyBear駭客能夠"精簡操作"。
達迪克曼表示,單一IP地址意味著"緊密的集中控制",而非分散式網路。
"這表明是有組織的網路犯罪,而非國家贊助——政府操作通常使用分散式基礎設施以避免單點故障,"他補充道。"很可能是為牟利的俄羅斯犯罪集團,而非受國家指示。"
達迪克曼表示GreedyBear可能會繼續其行動,並提供了幾個避免其不斷擴大的攻擊範圍的建議。
"只安裝來自有長期歷史的已驗證開發者的擴充套件,"他說,並建議使用者始終避免盜版軟體網站。
他還建議僅使用官方錢包軟體,而不是瀏覽器擴充套件,儘管他建議如果是嚴肅的長期投資者,應遠離軟體錢包。
他說:"對於大額加密貨幣持倉,使用硬體錢包,但只能從官方製造商網站購買——GreedyBear會建立虛假的硬體錢包網站以竊取支付資訊和憑據。"
