网络安全公司Koi Security表示，一项恶意行动通过数百个浏览器扩展程序、网站和恶意软件，采取三重攻击手段，累计盗取加密货币总额超过100万美元。

Koi Security研究员Tuval Admoni周四表示，该公司将该恶意团伙命名为“GreedyBear”，其“重新定义了工业级别的加密货币盗窃模式”。

Admoni指出，大多数团伙只选择一种手法，可能专注于浏览器扩展，或者专注于勒索软件，或仅经营钓鱼欺诈网站，而GreedyBear则选择三者兼施，并且取得显著效果。

GreedyBear实施的攻击手法并非首次出现，但报告强调，网络犯罪分子现在正采用多种复杂骗局

Admoni表示，已有超过100万美元的加密货币被盗，受害者为使用650多种专门针对加密钱包用户的恶意工具的加密货币用户。

该团伙已在Firefox浏览器市场发布了超过150款恶意扩展程序，这些扩展均伪装成MetaMask、TronLink、Exodus和Rabby Wallet等主流加密钱包。

这些恶意分子采用了“扩展空壳技术（Extension Hollowing）”，首先创建合法扩展以绕过市场审核，随后将其转变为恶意扩展。

Admoni解释称，这些恶意扩展会直接在假钱包界面的用户输入栏中窃取凭证。

网络安全公司Cyvers的首席执行官Deddy Lavid告诉Cointelegraph，GreedyBear活动“显示了网络犯罪分子如何利用用户对浏览器扩展商店的信任。克隆流行的钱包插件，夸大评论，然后悄悄地替换成窃取凭证的恶意软件。”

在七月初，Koi Security发现了40个恶意Firefox扩展，怀疑是俄罗斯威胁行为者在进行所谓的“Foxy Wallet”活动。

该团伙攻击的第二个方面集中在加密货币主题的恶意软件上，Koi Security发现了近500个样本。

像LummaStealer这样的凭证窃取者专门针对加密钱包信息，而勒索软件变种如Luca Stealer则设计为要求加密货币支付。

大多数恶意软件通过提供破解或盗版软件的俄罗斯网站分发，Admoni说道。

三重攻击中的第三个攻击向量是一组假冒加密货币相关产品和服务的虚假网站。

Admoni指出，这些并非典型的仿冒登录门户钓鱼页面，而是外观精美、伪装成数字钱包、硬件设备或钱包修复服务的虚假产品页面。

一台服务器同时承担指挥控制、凭证收集、勒索软件协调和诈骗网站的核心功能，使攻击者能够在多个渠道高效协同操作。

该活动还出现了AI生成代码的迹象，攻击者能够快速扩展并多样化针对加密货币的攻击手段，标志着以加密货币为核心的网络犯罪进入新阶段。

Admoni警告道：“这不是一时的趋势——而是新的常态。”

Lavid表示，这些攻击通过在钱包用户界面直接注入恶意逻辑，利用用户的操作预期，绕过了静态防御措施。他补充说，这凸显了浏览器厂商加强审核、开发者提高透明度以及用户保持警惕的重要性。

相关推荐：SEC员工关于流动质押的指导意见留下监管疑问，或将面临争议

原文: 《 GreedyBear诈骗集团升级加密货币盗窃手段，作案规模达“工业化”水平 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。