加密貨幣詐騙集團 GreedyBear 使用假冒擴充功能和惡意軟體竊取超過 $1m

一群被稱為「GreedyBear」的加密貨幣威脅行為者已竊取超過100萬美元，研究人員將其描述為一場涵蓋惡意瀏覽器擴充功能、惡意軟體和詐騙網站的工業規模行動。

根據Koi Security研究員Tuval Admoni的說法，GreedyBear已「重新定義了工業規模的加密貨幣盜竊」，他表示該組織的方法將多種經過驗證的攻擊方式融合為一個協調行動。

雖然大多數網絡犯罪組織專注於單一攻擊媒介，如網絡釣魚、勒索軟體或假冒擴充功能，但GreedyBear同時大規模地採用了這三種方式。

這些發現出現在區塊鏈安全公司PeckShield報告七月份加密貨幣犯罪急劇上升之後，不良行為者在17起重大事件中竊取了約1.42億美元。

惡意瀏覽器擴充功能

Koi Security的調查發現，GreedyBear目前的行動已部署超過650種針對加密貨幣錢包用戶的惡意工具。

Admoni指出，這標誌著該組織從早期的「Foxy Wallet」行動的升級，該行動在七月曝光了40個惡意Firefox擴充功能。

該組織使用Koi稱為「Extension Hollowing」的技術來繞過市場檢查並獲取用戶信任。

操作者首先以新發布者帳戶發布看似無害的Firefox擴充功能——如連結淨化器或影片下載器。這些擴充功能隨後被填充虛假正面評價，然後被轉換為針對MetaMask、TronLink、Exodus和Rabby Wallet等錢包的仿冒工具。

一旦武器化，這些擴充功能會直接從用戶輸入欄位收集憑證，並將其傳輸到GreedyBear的命令和控制伺服器。

加密貨幣惡意軟體

除了擴充功能外，研究人員還發現了近500個與同一基礎設施相關的惡意Windows可執行檔。

這些檔案涵蓋多個惡意軟體家族，包括憑證竊取工具如LummaStealer、類似Luca Stealer的勒索軟體變種，以及可能作為其他有效載荷加載器的通用特洛伊木馬。

Koi Security指出，這些樣本中的許多出現在俄語網站託管的惡意軟體分發管道中，這些網站提供破解、盜版或「重新打包」的軟體。這種分發方法不僅擴大了該組織對安全意識較低用戶的觸及範圍，還允許他們將感染擴散到加密貨幣原生受眾之外。

研究人員還發現了展示模組化能力的惡意軟體樣本，表明操作者可以更新有效載荷或交換功能，而無需部署全新的惡意軟體。

詐騙加密貨幣服務

與這些惡意軟體操作並行，GreedyBear維護著一個詐騙網站網絡，這些網站冒充加密貨幣產品和服務。這些網站旨在從毫無戒心的用戶那裡收集敏感信息。

Koi Security發現了假冒的登陸頁面，宣傳硬體錢包和聲稱可以修復Trezor等流行設備的虛假錢包修復服務。其他頁面被發現在推廣假冒的數字錢包或加密貨幣工具，所有這些都具有專業級設計。

與模仿交易所登錄頁面的傳統釣魚網站不同，這些詐騙冒充產品展示或支援服務。訪問者被誘導輸入錢包恢復短語、私鑰、支付信息或其他敏感數據，攻擊者隨後竊取這些數據用於後續盜竊或信用卡詐騙。

Koi的調查發現，這些域名中有些仍然活躍並收集數據，而其他則看似休眠但準備在未來的行動中激活。

中央節點

此外，Koi發現幾乎所有與GreedyBear的擴充功能、惡意軟體和詐騙網站相連的域名都解析到單一IP地址——185.208.156.66。

這個伺服器作為行動的命令和控制中心，管理憑證收集、勒索軟體協調和詐騙網站託管。通過在一個基礎設施上整合操作，該組織能夠以更快的速度和更高的效率追蹤受害者、調整有效載荷並分發被盜數據。

根據Admoni的說法，在行動的代碼中還發現了「AI生成的人工製品」跡象，這使得「攻擊者擴展操作、多樣化有效載荷和逃避檢測比以往任何時候都更快更容易」。

「這不是一時的趨勢——這是新常態。隨著攻擊者武裝自己使用越來越強大的AI，防禦者必須以同樣先進的安全工具和情報來應對，」Admoni說。