Koi Security研究团队近日曝光了名为“GreedyBear”的威胁组织——该团伙通过浏览器扩展、恶意可执行文件以及精心伪造的网站,实施大规模加密货币盗窃行动,手法隐蔽且高度协同。
“150个武器化的Firefox扩展、近500个恶意可执行文件、数十个钓鱼网站、一个统一运转的攻击基础设施。据用户报告,损失总额已超100万美元。”Koi Security指出。
GreedyBear早已不再局限于单一攻击向量,其行动战术包括:
1. 武器化的Firefox扩展
该团伙已在Firefox扩展市场发布了超过150个恶意扩展,伪装成MetaMask、TronLink、Exodus、Rabby Wallet等知名加密钱包。
他们采用一种被称为“扩展空壳化(Extension Hollowing)”的策略:
-
先批量上线看似无害的实用工具,并刷出虚假的好评建立信任;
-
待用户基础稳定后,将扩展替换为恶意版本,用于窃取钱包凭证;
-
窃取的数据(包括IP地址)会被发送至远程C2服务器。
这一手法与其早期的“Foxy Wallet”行动如出一辙,但规模已扩大一倍以上。
2. 近500个恶意可执行文件
Koi Security发现,GreedyBear与同一基础设施相关联的恶意Windows可执行文件接近500个,涵盖凭证窃取器、勒索软件及木马程序。
这些恶意文件主要通过网站传播,这些网站常提供破解或盗版软件,显示该团伙具备成熟的恶意软件投放渠道。
“这些二进制文件与浏览器扩展共用同一套基础设施,表明背后是同一个威胁组织在集中运作。”
3. 高仿度诈骗网站
GreedyBear还运营着大量外观精美的诈骗网站,用于兜售假冒钱包、硬件设备以及诸如“Trezor修复服务”等虚假业务。
与传统的钓鱼登录页不同,这些网站往往有完整的产品介绍页面,诱导受害者主动提交钱包助记词或信用卡信息。
最具代表性的发现是:几乎所有恶意域名均解析至 185.208.156.66,该IP地址同时充当C2指挥、凭证收集、勒索软件协调和诈骗托管的核心枢纽。
GreedyBear的野心并不止于Firefox。此前安全人员已发现一个恶意Chrome扩展“Filecoin Wallet”与该IP存在关联,这表明其正在向多浏览器平台扩张。
此外,Koi Security还发现其代码中存在AI生成痕迹,这意味着攻击者正在利用AI来“扩大行动规模、多样化载荷,并更快地规避检测”。
“这不是短期现象,而是新的常态。随着攻击者武装上越来越强大的AI能力,防御方也必须以同等先进的安全工具和情报应对。”
发表评论
您还未登录,请先登录。
登录