一组名为“GreedyBear”的加密货币威胁行为者已经窃取了超过100万美元，研究人员称这是一场工业规模的活动，涉及恶意浏览器扩展、恶意软件和诈骗网站。

摘要

据报道，GreedyBear通过恶意扩展、恶意软件和诈骗网站已盗取超过100万美元。

在这次行动中，确认了针对加密货币钱包用户的650多种恶意工具。

研究人员发现了使用AI生成代码进行攻击扩展和多样化的迹象。

据Koi Security研究员Tuval Admoni称，“GreedyBear重新定义了工业规模的加密盗窃。”他说该组织的方法将多种经过验证的攻击方法结合成一次协调行动。

虽然大多数网络犯罪组织专注于单一攻击向量，例如网络钓鱼、勒索软件或虚假扩展，但 GreedyBear 同时大规模地从事这三种活动。

这些发现是在区块链安全公司PeckShield报告称7月份加密犯罪急剧增加的几天后发布的，恶意行为者在17起重大事件中窃取了大约1.42亿美元。

恶意浏览器扩展程序

Koi Security的调查发现，GreedyBear的当前活动已经部署了超过650个针对加密货币钱包用户的恶意工具。

Admoni 指出，这标志着该组织之前“Foxy Wallet”活动的升级，该活动在7月份曝光了40个恶意Firefox扩展。 

该团队使用一种称为“扩展挖空”的技术来绕过市场检查并获得用户信任。  

运营商首先以新的发布者帐户发布看似无害的Firefox扩展程序——例如链接 sanitizers或视频下载器。然后，这些扩展程序会填充虚假好评，再被转换成针对MetaMask、TronLink、Exodus和Rabby Wallet的模拟钱包工具。 

一旦武器化，这些扩展收集凭证直接从用户输入字段并将它们传输到GreedyBear的命令和控制服务器。

你可能还喜欢：

德里的“加密女王”被捕，印度在应对加密货币诈骗和缺乏监管方面陷入困境

加密恶意软件

除了扩展程序之外，研究人员发现与同一基础设施相关的近500个恶意Windows可执行文件。 

这些文件涉及多个恶意软件家族，包括像LummaStealer这样的凭证窃取者、类似于Luca Stealer的加密勒索软件变种，以及可能作为其他有效负载加载器的通用木马。

Koi Security指出，许多这些样本出现在在俄语网站上托管的恶意软件分发管道中，这些网站提供破解、盗版或“重新打包”的软件。这种分发方法不仅扩大了该团体对不太注重安全的用户的影响力，还使他们能够在加密货币原生用户之外传播感染。

研究人员还发现了具有模块化功能的恶意软件样本，这表明运营商可以在不部署全新恶意软件的情况下更新有效负载或交换功能。

诈骗加密货币服务

与这些恶意软件操作并行，GreedyBear 运营着一个冒充加密货币产品和服务的诈骗网站网络。这些网站旨在从不知情的用户那里收集敏感信息。

Koi Security 发现了虚假的着陆页面，宣传硬件钱包，并声称提供修复像 Trezor 这样的流行设备的假钱包维修服务。其他页面被发现推广假的数字钱包或加密货币工具，所有这些都具有专业级的设计。

精心设计的虚假着陆页面用于欺骗受害者 | 来源：Koi Security

与传统的模拟交易所登录页面的网络钓鱼网站不同，这些诈骗活动伪装成产品展示或支持服务。访问者被诱骗输入钱包恢复短语、私钥、支付信息或其他敏感数据，然后攻击者将这些数据提取出来，用于后续的盗窃或信用卡欺诈。

Koi的调查发现，其中一些域名仍然活跃并收集数据，而另一些则看似处于休眠状态，但在未来的活动中可以随时激活。

一个中心节点

此外，Koi 发现几乎所有与 GreedyBear 的扩展、恶意软件和诈骗网站相关的域名都解析到一个单一的 IP 地址 — 185.208.156.66。

连接图 185.208.156.66 | 来源: Koi Security

该服务器作为操作的指挥控制中心，管理凭证收集、勒索软件协调和欺诈性网站的托管。通过在一个基础设施上集中操作，该组织能够更快更高效地追踪受害者、调整有效负载并分发被盗数据。

根据Admoni的说法，在该活动的代码中还发现了“AI生成的工件”的迹象，这使得“攻击者比以往任何时候都更容易扩大规模、多样化有效负载并逃避检测。”

“这不是一个短暂的趋势——这是新的常态。随着攻击者配备越来越强大的人工智能，防御者必须用同样先进的安全工具和情报来应对，”Admoni 说。