加密货币诈骗组织GreedyBear使用假扩展程序和恶意软件窃取超过100万美元

一群被称为"GreedyBear"的加密货币威胁行为者在研究人员描述为工业规模的活动中窃取了超过100万美元，该活动涉及恶意浏览器扩展、恶意软件和诈骗网站。

据Koi Security研究员Tuval Admoni表示，GreedyBear"重新定义了工业规模的加密货币盗窃"，他说该组织的方法将多种经过验证的攻击方式融合为一个协调的行动。

虽然大多数网络犯罪组织专注于单一的攻击途径，如网络钓鱼、勒索软件或假冒扩展程序，但GreedyBear同时在大规模上采用了这三种方式。

这些发现出现在区块链安全公司PeckShield报告7月份加密货币犯罪急剧上升之后，不法分子在17起重大事件中窃取了约1.42亿美元。

恶意浏览器扩展

Koi Security的调查发现，GreedyBear当前的活动已经部署了超过650个针对加密货币钱包用户的恶意工具。

Admoni指出，这标志着该组织从早期的"Foxy Wallet"活动的升级，该活动在7月份暴露了40个恶意Firefox扩展。

该组织使用Koi称为"扩展挖空"的技术来绕过市场检查并获取用户信任。

运营者首先以新发布者账户的名义发布看似无害的Firefox扩展程序——如链接净化器或视频下载器。这些扩展程序随后被填充虚假的正面评价，然后被转换为针对MetaMask、TronLink、Exodus和Rabby Wallet等钱包的仿冒工具。

一旦被武器化，这些扩展程序直接从用户输入字段中收集凭证，并将其传输到GreedyBear的命令和控制服务器。

加密货币恶意软件

除了扩展程序外，研究人员还发现了近500个与同一基础设施相关的恶意Windows可执行文件。

这些文件涵盖多个恶意软件家族，包括凭证窃取器如LummaStealer、类似Luca Stealer的勒索软件变种，以及可能作为其他有效载荷加载器的通用特洛伊木马。

Koi Security指出，这些样本中的许多出现在俄语网站托管的恶意软件分发管道中，这些网站提供破解、盗版或"重新打包"的软件。这种分发方法不仅扩大了该组织对安全意识较低用户的覆盖范围，还允许他们将感染源扩展到加密货币原生用户群体之外。

研究人员还发现了展示模块化功能的恶意软件样本，表明运营者可以更新有效载荷或交换功能，而无需部署全新的恶意软件。

诈骗加密货币服务

与这些恶意软件操作并行，GreedyBear维护着一个诈骗网站网络，这些网站冒充加密货币产品和服务。这些网站旨在从毫无戒心的用户那里收集敏感信息。

Koi Security发现了假冒的登陆页面，宣传硬件钱包和声称可以修复Trezor等流行设备的虚假钱包修复服务。其他页面被发现在推广假冒的数字钱包或加密货币工具，所有这些都具有专业级的设计。

与模仿交易所登录页面的传统钓鱼网站不同，这些诈骗伪装成产品展示或支持服务。访问者被诱导输入钱包恢复短语、私钥、支付信息或其他敏感数据，攻击者随后窃取这些数据用于后续盗窃或信用卡欺诈。

Koi的调查发现，这些域名中的一些仍然活跃并在收集数据，而其他域名则看似休眠但随时可以在未来的活动中激活。

中央节点

此外，Koi发现几乎所有与GreedyBear的扩展程序、恶意软件和诈骗网站相连的域名都解析到一个单一的IP地址——185.208.156.66。

这个服务器作为操作的命令和控制中心，管理凭证收集、勒索软件协调和欺诈网站托管。通过在一个基础设施上整合操作，该组织能够以更快的速度和更高的效率跟踪受害者、调整有效载荷并分发被盗数据。

据Admoni称，在活动的代码中还发现了"AI生成的人工制品"的迹象，这使得"攻击者扩大操作规模、多样化有效载荷和逃避检测比以往任何时候都更快、更容易"。

"这不是一时的趋势——这是新常态。随着攻击者武装自己拥有越来越强大的AI，防御者必须以同样先进的安全工具和情报来应对，"Admoni说。