俄羅斯駭客組織'GreedyBear'利用偽造的加密貨幣錢包擴充套件程式,僅在5周內就竊取了100萬美元(約合1.3億韓元)。根據網路安全公司Coysecurity在11日(當地時間)釋出的報告,他們運營了150個惡意火狐瀏覽器擴充套件程式,並偽造和傳播了MetaMask、Exodus、Rabby Wallet等主要加密貨幣錢包。
特別值得注意的是他們使用的"擴充套件程式空洞"技術。他們首先在瀏覽器商店上傳正常的擴充套件程式,然後後續將其更新為惡意程式碼,從而繞過安全驗證。他們還撰寫了虛假評論以提高可信度,使用了極其精細的方法。
與之前4-7月的活動中僅運營40個擴充套件程式相比,GreedyBear大幅擴大了規模。除了瀏覽器擴充套件程式外,他們還透過500多個惡意可執行檔案和數十個釣魚網站進行多角度攻擊。
有趣的是,所有攻擊域名都連線到單一IP地址(185.208.156.66),顯示出中心化的運營結構。專家們將其分析為以追求利潤為目的的有組織犯罪,而非國家支援的行為。
Coysecurity的首席技術官伊丹·達爾迪克曼警告稱:"火狐瀏覽器活動主要針對英語使用者,因此使用全球DeFi平臺的韓國投資者也可能成為攻擊目標。"
專家們建議僅安裝經過驗證的開發者的擴充套件程式,並在持有大量資產時使用硬體錢包。他們還強調只能在官方製造商網站購買硬體錢包,因為GreedyBear甚至偽造了硬體錢包銷售網站。
