俄罗斯黑客组织利用 MetaMask 的假版本窃取 100 万美元加密货币

根据 Koi Security 的研究，俄罗斯黑客组织 GreedyBear 近几个月来扩大了其攻击规模，使用 150 个“武器化的 Firefox 扩展程序”来瞄准国际和英语受害者。

在博客上发布其研究成果，美国和以色列锦鲤报道该组织“重新定义了工业规模的加密盗窃”，在过去五周内使用 150 个武器化的 Firefox 扩展、近 500 个恶意可执行文件和“数十个”网络钓鱼网站窃取了超过 100 万美元。

正在说话解密Koi 首席技术官 Idan Dardikman 表示，Firefox 攻击活动是“迄今为止”最赚钱的攻击媒介，“为其带来了据报 100 万美元中的大部分收益”。

这一特殊的策略涉及创建广泛下载的加密钱包的虚假版本，例如 MetaMask、Exodus、Rabby Wallet 和 TronLink。

GreedyBear 特工使用 Extension Hollowing 绕过市场安全措施，最初上传扩展的非恶意版本，然后用恶意代码更新应用程序。

他们还发布有关扩展的虚假评论，给人以信任和可靠的错误印象。

但一旦下载，恶意扩展程序就会窃取钱包凭证，进而用于窃取加密货币

GreedyBear 不仅能够利用这种方法在短短一个多月内窃取 100 万美元，而且还大大扩大了其行动规模，此前的行动包括——今年四月至七月间活跃–仅涉及 40 个扩展。

该组织的另一种主要攻击方法涉及近 500 个恶意 Windows 可执行文件，并将其添加到分发盗版或重新打包软件的俄罗斯网站上。

此类可执行文件包括凭证窃取程序、勒索软件和木马，Koi Security 认为这表明存在“广泛的恶意软件分发渠道，能够根据需要改变策略”。

该组织还创建了数十个网络钓鱼网站，假装提供合法的加密相关服务，例如数字钱包、硬件设备或钱包维修服务。

GreedyBear 使用这些网站诱骗潜在受害者输入个人数据和钱包凭证，然后利用这些数据和钱包凭证窃取资金。

“值得一提的是，Firefox 活动针对的是更多全球/英语受害者，而恶意可执行文件则针对的是更多俄语受害者，”Idan Dardikman 在接受解密.

尽管攻击方法和目标多种多样，Koi 还报告称“几乎所有” GreedyBear 攻击域都链接回单个 IP 地址：185.208.156.66。

据报道，该地址充当协调和收集的中心枢纽，使 GreedyBear 黑客能够“简化操作”。

达迪克曼表示，单一 IP 地址“意味着严格的集中控制”，而不是分布式网络。

“这表明存在有组织的网络犯罪，而非国家支持——政府运营通常使用分布式基础设施来避免单点故障，”他补充道。“很可能是俄罗斯犯罪集团以盈利为目的，而非国家指挥。”

达迪克曼表示，GreedyBear 可能会继续运营，并提出了一些避免其业务范围扩大的建议。

他说：“只安装经过验证且历史悠久的开发商提供的扩展程序。”他还补充说，用户应始终避免使用盗版软件网站。

他还建议只使用官方钱包软件，而不是浏览器扩展程序，但他建议，如果你是一个认真的长期投资者，就不要使用软件钱包。

他说道：“使用硬件钱包来持有大量的加密货币，但只能从官方制造商网站购买——GreedyBear 会创建虚假的硬件钱包网站来窃取支付信息和凭证。”