Firefoxの拡張機能を通じて拡散したGreedyBear詐欺で100万ドル相当の暗号資産が盗まれた：Koi Security

GreedyBear詐欺グループは、組織的な攻撃キャンペーンを通じて100万ドル以上の暗号通貨を盗みました。.

Koi Securityは、このグループが500個の悪意のある実行ファイルに加え、150個の武器化されたFirefox拡張機能をリリースしたと報告しました。この攻撃では、偽のウォレット拡張機能、フィッシングサイト、マルウェアが使用され、 仮想通貨 ユーザーを標的としていました。

Firefox拡張機能詐欺、人気の暗号資産ウォレットを狙う

GreedyBear詐欺は、仮想通貨ユーザーを標的とした150種類以上の悪質な拡張機能をFirefoxストアに公開しました。これらの悪質な拡張機能は、 MetaMask、 Trondentdentdentdentdentdentdentdentユーザーがログインしようとした際に認証情報を

ハッカーたちは当初、リンクサニタイザーやYouTubeダウンローダーといった、機能が限定された本物のように見える拡張機能を作成します。そして、新しいパブリッシャー名を持つ5～7個の汎用ユーティリティをラインナップすることで、長期的に信頼性を確立していきます。.

犯罪者は、本物の肯定的なレビューによって信頼を築くと、これらの拡張機能を完全に削除します。名前やアイコンを変更し、有害なコードを挿入しますが、元の肯定的なレビュー履歴はそのまま残します。この手法により、有害な拡張機能は、マーケットプレイスを閲覧する新規ユーザーにとって信頼できるものに見えてしまいます。.

これらの拡張機能は、ポップアップウィンドウの入力フィールドからウォレットのdent情報を取得するツールとして機能します。盗まれた情報は、犯罪グループが管理するリモートサーバーに送信され、その後悪用されます。また、拡張機能は起動時に被害者のIPアドレスを送信し、 tracに利用します。.

この活動は、40個の悪意のある拡張機能をdent以前のFoxy Wallet活動の続編です。活動範囲は当初のケースの2倍以上に拡大しました。ユーザーからの報告によると、被害者はこれらの偽のウォレット拡張機能を様々な期間にわたって使用することで、多額の暗号資産価値を失ったことが確認されています。.

マルウェアと詐欺サイトを組み合わせたマルチプラットフォーム攻撃

GreedyBear 詐欺は 、ブラウザ拡張機能キャンペーンと並行して、約500個の悪意のあるWindows実行ファイルを運用しています。これらのプログラムは、クラック版や海賊版ソフトウェアを無防備なユーザーに配布するロシアのウェブサイトを通じて拡散しています。マルウェアコレクションは複数の脅威カテゴリにまたがっており、最大限の被害をもたらす可能性があります。

LummaStealerのような認証情報窃取dentマルウェアは、被害者のコンピュータに保存されている暗号資産ウォレット情報を標的とします。ランサムウェアの亜種は、ユーザーのファイルを暗号化し、復号鍵と引き換えに暗号資産による支払いを要求します。汎用トロイの木馬は、必要に応じて追加のペイロードを配信するためのバックドアアクセスを提供します。.

このグループは、データ窃盗を目的としたなりすまし暗号資産サービスサイトのインフラも維持しています。これらの詐欺サイトは、正規の暗号資産サービスに見せかけたものであり、典型的なフィッシングサイトとは異なります。Jupiterブランドのハードウェアウォレットには、偽のインターフェースのモックアップが含まれており、購入者を騙して支払い情報を入力させようとしています。.

報告書で挙げられたもう一つの例として、破損したTrezor製品の修理を謳うウォレット修理ウェブサイトが挙げられます。これらの偽装ウェブサイトは、テクニカルサポートを装いながらウォレットの復元ワードと秘密鍵を収集しています。一部のドメインは現在も活動していますが、他のドメインは休眠状態にあり、将来の標的型攻撃を待ち構えています。.

多様な攻撃手法は、GreedyBear詐欺が単一の手法に集中するのではなく、幅広い配布パイプラインを運用していることを示しています。この多様なアプローチにより、グループは最も効果的な方法に基づいて戦術を切り替えることができます。異なるマルウェアファミリー間でインフラストラクチャが再利用されていることは、すべてのキャンペーン構成要素の背後に中央集権的な連携があることを裏付けています。.

集中サーバーが世界的な盗難活動を制御

GreedyBearは、185.208.156.66という単一のIPアドレスを通じて、その犯罪組織全体を運営しています。拡張機能、マルウェアペイロード、フィッシングサイトで使用されるほぼすべてのドメインがこの中央サーバーに接続しています。このハブは、コマンドアンドコントロール（C&C）通信、dent情報の収集、ランサムウェアの連携、詐欺ウェブサイトのホスティングなどを担当しています。.

一元化されたインフラストラクチャにより、攻撃者は複数の攻撃チャネルを横断して効率的にオペレーションを合理化できます。ブラウザ拡張機能、マルウェア感染、そしてウェブサイトの被害者からのデータはすべて、同じ収集ポイントに集約されます。このアプローチにより、管理が簡素化されると同時に、標的の被害者に関する包括的なインテリジェンスが提供されます。.

Koi Securityは、このグループが既にFirefoxブラウザ以外にも活動を拡大し始めていることを発見しました。数か月前、Filecoin Walletと呼ばれる悪意のあるChrome拡張機能が、dent情報窃盗dent手法を用いていました。このChrome拡張機能は、同じ185.208.156.66サーバーインフラストラクチャでホストされているドメインと通信していました。.

この接続は、GreedyBearが複数のブラウザエコシステムで運用をテストしていることを裏付けています。Chrome、Edge、その他のブラウザも、今後数ヶ月以内に同様の拡張機能キャンペーンに直面する可能性があります。同グループが複数のプラットフォームで実験を行う意欲は、運用の規模拡大へのコミットメントを示しています。.

コード分​​析によると、AIツールはキャンペーンの拡大と複雑化を加速させるのに役立っています。マルウェアに生成されたアーティファクトは、AIがペイロードの作成とスケーリングを支援していることを示唆しています。この技術により、開発サイクルが短縮され、異なるプラットフォーム間でセキュリティ検出システムをより効果的に回避できるようになります。.