揭秘GreedyBear:恶意Firefox扩展与虚假网站如何窃取数百万加密货币
内容提要
Koi Security研究团队揭示了名为GreedyBear的威胁组织,该组织通过恶意Firefox扩展、可执行文件和诈骗网站实施加密货币盗窃,损失超过数百万。攻击手法包括伪装成知名钱包的扩展、传播近500个恶意程序及运营高仿真诈骗网站。研究显示,攻击者利用AI工具加速攻击,防御方需提升安全措施以应对新常态。
关键要点
-
Koi Security研究团队揭露了名为GreedyBear的威胁组织,实施加密货币盗窃,损失超过数百万。
-
GreedyBear通过恶意Firefox扩展、可执行文件和诈骗网站进行攻击,构成协同攻击基础设施。
-
攻击手法包括发布150个伪装成知名钱包的恶意Firefox扩展,采用'扩展程序掏空'技术。
-
发现近500个与同一基础设施关联的Windows恶意程序,显示出成熟的恶意软件分发渠道。
-
GreedyBear运营高仿真诈骗网站,诱骗受害者提交钱包助记词或信用卡信息。
-
几乎所有恶意域名解析至同一IP,承担多项功能,包括C2服务器和诈骗网站托管。
-
GreedyBear的活动正在进行跨浏览器扩张,已发现Chrome的恶意扩展。
-
研究显示攻击者利用AI工具加速攻击,防御方需提升安全措施以应对新常态。
延伸问答
GreedyBear是如何实施加密货币盗窃的?
GreedyBear通过恶意Firefox扩展、可执行文件和诈骗网站的组合攻击,实施加密货币盗窃。
GreedyBear使用了哪些技术来伪装其恶意扩展?
GreedyBear使用了'扩展程序掏空'技术,先发布无害工具扩展以建立信任,然后替换为恶意版本。
GreedyBear的恶意程序是如何传播的?
近500个恶意可执行文件主要通过俄罗斯破解软件下载网站传播,显示出成熟的分发渠道。
GreedyBear的诈骗网站有什么特点?
GreedyBear运营的诈骗网站虚假宣传知名品牌的电子钱包和硬件设备,诱骗用户提交敏感信息。
GreedyBear的活动是否扩展到其他浏览器?
是的,GreedyBear的活动已扩展到Chrome浏览器,发现了与其相关的恶意扩展。
攻击者如何利用AI工具加速攻击?
攻击者利用AI工具以更快的速度扩大攻击规模、多样化攻击载荷并规避检测。
