俄羅斯黑客組織利用 MetaMask 的假版本竊取 100 萬美元加密貨幣

根據 Koi Security 的研究，俄羅斯黑客組織 GreedyBeAR 近幾個月來擴大了其攻擊規模，使用 150 個“武器化的 Firefox 擴展程序”來瞄準國際和英語受害者。

在博客上發布其研究成果，美國和以色列錦鯉報導該組織“重新定義了工業規模的加密盜竊”，在過去五週內使用 150 個武器化的 Firefox 擴展、近 500 個惡意可執行文件和“數十個”網絡釣魚網站竊取了超過 100 萬美元。

正在說話解密Koi 首席技術官 Idan Dardikman 表示，Firefox 攻擊活動是“迄今為止”最賺錢的攻擊媒介，“為其帶來了據報 100 萬美元中的大部分收益”。

這一特殊的策略涉及創建廣泛下載的加密錢包的虛假版本，例如 MetaMask、Exodus、Rabby Wallet 和 TronLINK。

GreedyBear 特工使用 Extension Hollowing 繞過市場安全措施，最初上傳擴展的非惡意版本，然後用惡意代碼更新應用程序。

他們還發布有關擴展的虛假評論，給人以信任和可靠的錯誤印象。

但一旦下載，惡意擴展程序就會竊取錢包憑證，進而用於竊取加密貨幣

GreedyBear 不僅能夠利用這種方法在短短一個多月內竊取 100 萬美元，而且還大大擴大了其行動規模，此前的行動包括——今年四月至七月間活躍–僅涉及 40 個擴展。

該組織的另一種主要攻擊方法涉及近 500 個惡意 Windows 可執行文件，並將其添加到分發盜版或重新打包軟件的俄羅斯網站上。

此類可執行文件包括憑證竊取程序、勒索軟件和木馬，Koi Security 認為這表明存在“廣泛的惡意軟件分發渠道，能夠根據需要改變策略”。

該組織還創建了數十個網絡釣魚網站，假裝提供合法的加密相關服務，例如數字錢包、硬件設備或錢包維修服務。

GreedyBear 使用這些網站誘騙潛在受害者輸入個人數據和錢包憑證，然後利用這些數據和錢包憑證竊取資金。

“值得一提的是，Firefox 活動針對的是更多全球/英語受害者，而惡意可執行文件則針對的是更多俄語受害者，”Idan Dardikman 在接受解密.

儘管攻擊方法和目標多種多樣，Koi 還報告稱“幾乎所有” GreedyBear 攻擊域都鏈接回單個 IP 地址：185.208.156.66。

據報導，該地址充當協調和收集的中心樞紐，使 GreedyBear 黑客能夠“簡化操作”。

達迪克曼表示，單一 IP 地址“意味著嚴格的集中控制”，而不是分佈式網絡。

“這表明存在有組織的網絡犯罪，而非國家支持——政府運營通常使用分佈式基礎設施來避免單點故障，”他補充道。 “很可能是俄羅斯犯罪集團以盈利為目的，而非國家指揮。”

達迪克曼表示，GreedyBear 可能會繼續運營，並提出了一些避免其業務範圍擴大的建議。

他說：“只安裝經過驗證且歷史悠久的開發商提供的擴展程序。”他還補充說，用戶應始終避免使用盜版軟件網站。

他還建議只使用官方錢包軟件，而不是瀏覽器擴展程序，但他建議，如果你是一個認真的長期投資者，就不要使用軟件錢包。

他說道：“使用硬件錢包來持有大量的加密貨幣，但只能從官方製造商網站購買——GreedyBear 會創建虛假的硬件錢包網站來竊取支付信息和憑證。”