根据Koi Security的研究，俄罗斯黑客组织GreedyBear在最近几个月扩大了其活动，使用150个“武器化的Firefox扩展”来针对国际和讲英语的受害者。

在其博客中发布研究结果的美国和以色列的Koi报告称，该组织“重新定义了工业规模的加密盗窃”，利用150个武器化的Firefox扩展、近500个恶意可执行文件和“数十个”钓鱼网站，在过去五周内盗取了超过100万美元。

Koi的首席技术官Idan Dardikman在接受Decrypt采访时表示，Firefox活动“迄今为止”是其最有利可图的攻击方式，已经“为他们自己获得了大部分报告的100万美元”。

这一特定的手段涉及创建广泛下载的加密钱包的假版本，如MetaMask、Exodus、Rabby Wallet和TronLink。

GreedyBear的操作人员使用扩展空心化技术来绕过市场安全措施，最初上传非恶意版本的扩展，然后用恶意代码更新应用程序。

他们还发布扩展的虚假评论，给人以信任和可靠性的错误印象。

但一旦下载，这些恶意扩展就会窃取钱包凭证，进而用于盗取加密货币。

GreedyBear不仅能够在短短一个多月内通过这种方法盗取100万美元，而且他们大幅扩大了操作规模，之前的活动——在今年4月至7月之间活跃——仅涉及40个扩展。

该组织的另一主要攻击方法涉及近500个恶意Windows可执行文件，这些文件已被添加到分发盗版或重打包软件的俄罗斯网站上。

这些可执行文件包括凭证窃取器、勒索软件和木马，Koi Security表示这表明“一个广泛的恶意软件分发管道，能够根据需要调整战术”。

该组织还创建了数十个钓鱼网站，假装提供合法的加密相关服务，如数字钱包、硬件设备或钱包修复服务。

GreedyBear利用这些网站诱使潜在受害者输入个人数据和钱包凭证，然后用这些信息盗取资金。

Idan Dardikman在接受Decrypt采访时解释道：“值得一提的是，Firefox活动针对的是更全球化/讲英语的受害者，而恶意可执行文件则更针对讲俄语的受害者。”

尽管攻击方法和目标多样，Koi还报告称“几乎所有”GreedyBear攻击域名都链接回一个单一的IP地址：185.208.156.66。

根据报告，该地址作为协调和收集的中心枢纽，使GreedyBear黑客“能够简化操作”。

Dardikman表示，单一IP地址“意味着紧密的集中控制”，而不是分布式网络。

“这表明有组织的网络犯罪，而不是国家赞助——政府操作通常使用分布式基础设施以避免单点故障，”他补充道。“很可能是为利润而运作的俄罗斯犯罪团伙，而不是国家指挥。”

Dardikman表示，GreedyBear可能会继续其活动，并提供了几条避免其扩展影响的建议。

“只从经过验证的开发者那里安装扩展，且有较长历史，”他说，并补充道用户应始终避免盗版软件网站。

他还建议仅使用官方钱包软件，而不是浏览器扩展，尽管他建议如果你是一个认真长期投资者，应该远离软件钱包。

他说：“对于大量加密资产，使用硬件钱包，但只从官方制造商网站购买——GreedyBear创建假硬件钱包网站以窃取支付信息和凭证。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。