GreedyBear 사기가 Firefox 확장 프로그램을 통해 확산되어 100만 달러 상당의 암호화폐를 훔쳐갔다고 Koi Security가 발표했습니다

GreedyBear 사기단은 조직적인 공격을 통해 100만 달러 이상의 암호화폐를 훔쳤습니다.

Koi Security는 해당 그룹이 150개의 악성 Firefox 확장 프로그램과 500개의 악성 실행 파일을 배포했다고 보고했습니다. 이들은 가짜 지갑 확장 프로그램, 피싱 웹사이트, 멀웨어를 사용하여 암호화폐 여러 플랫폼의

파이어폭스 확장 프로그램 사기, 인기 암호화폐 지갑을 표적으로 삼아

GreedyBear 사기는 암호화폐 사용자를 대상으로 150개 이상의 악성 확장 프로그램을 Firefox 스토어에 배포했습니다. 이 악성 확장 프로그램들은 MetaMask, Trondentdentdentdentdentdentdentdent사용자가 로그인하려고 할 때

해커들은 처음에는 링크 삭제 프로그램이나 유튜브 다운로더처럼 기능이 제한적인 진짜처럼 보이는 확장 프로그램을 제작합니다. 5~7개의 평범한 유틸리티를 새로운 게시자 이름으로 출시하여 장기적으로 신뢰를 구축하는 것이 일반적입니다.

범죄자들은 ​​진정성 있는 긍정적인 리뷰를 통해 신뢰를 구축한 후, 해당 확장 프로그램의 내용을 완전히 삭제합니다. 확장 프로그램의 이름과 아이콘을 변경하고 악성 코드를 삽입하지만, 원래의 긍정적인 리뷰 기록은 그대로 유지합니다. 이러한 수법을 통해 악성 확장 프로그램이 시장을 탐색하는 새로운 사용자들에게 신뢰할 수 있는 것처럼 보이게 됩니다.

이 확장 프로그램들은 팝업 창의 입력란에서 지갑dent증명을 빼내는 도구로 작동합니다. 탈취된 정보는 범죄 조직이 관리하는 원격 서버로 전송되어 추후 악용됩니다. 또한, trac을 위해 시작 시 피해자의 IP 주소를 전송합니다.

이번 조치는 이전에 Foxy Wallet에서 악성 확장 프로그램 40개를dent한 데 대한 후속 조치입니다. 피해 규모는 초기 사례보다 두 배 이상 증가했습니다. 사용자 신고에 따르면 피해자들은 이러한 가짜 지갑 확장 프로그램을 사용하여 여러 기간에 걸쳐 상당한 암호화폐 가치를 손실했습니다.

다중 플랫폼 공격은 악성 소프트웨어와 사기 웹사이트를 결합합니다

GreedyBear 사기는 브라우저 확장 프로그램과 함께 약 500개의 악성 Windows 실행 파일을 운영합니다. 이러한 프로그램은 불법 복제 소프트웨어를 배포하는 러시아 웹사이트를 통해 유포됩니다. 이 악성 프로그램은 다양한 위협 범주를 포괄하여 최대의 피해를 입힙니다.

LummaStealer와 같은dent스틸러는 피해자 컴퓨터에 저장된 암호화폐 지갑 정보를 노립니다. 랜섬웨어 변종은 사용자 파일을 암호화하고 복호화 키를 대가로 암호화폐를 요구합니다. 일반적인 트로이목마는 필요에 따라 추가 페이로드를 전달하기 위한 백도어 접근 권한을 제공합니다.

이 그룹은 데이터 탈취를 위해 가짜 암호화폐 서비스 사이트로 구성된 인프라를 운영하고 있습니다. 사기 사이트는 일반적인 피싱 페이지와는 달리 합법적인 암호화폐 서비스처럼 보입니다. 주피터(Jupiter) 브랜드의 하드웨어 지갑에도 구매자가 결제 정보를 유출하도록 유도하는 가짜 인터페이스가 포함되어 있습니다.

보고서에서 언급된 또 다른 사례는 손상된 Trezor 제품을 수리해 준다고 주장하는 지갑 수리 웹사이트입니다. 이러한 사칭 웹사이트는 기술 지원을 제공하는 것처럼 가장하여 지갑 복구 단어와 개인 키를 수집합니다. 일부 도메인은 현재 활동 중이지만, 다른 도메인은 향후 표적 공격을 위해 비활성화된 상태입니다.

다양한 공격 방식은 GreedyBear 사기가 단일 기법에 집중하기보다는 광범위한 유포망을 활용하고 있음을 보여줍니다. 이러한 다각적인 접근 방식을 통해 해당 그룹은 가장 효과적인 전략에 따라 전술을 변경할 수 있습니다. 서로 다른 악성코드 계열에서 인프라를 재사용하는 것은 모든 캠페인 구성 요소 뒤에 중앙 집중식 조정 체계가 존재함을 시사합니다.

중앙 집중식 서버가 전 세계적인 절도 행위를 제어합니다

GreedyBear는 185.208.156.66이라는 단일 IP 주소를 통해 전체 범죄 조직을 운영합니다. 거의 모든 도메인 확장자, 악성코드 페이로드, 피싱 사이트가 이 중앙 서버에 연결됩니다. 이 허브는 명령 및 제어 통신,dent증명 수집, 랜섬웨어 배포 조정, 사기 웹사이트 호스팅을 담당합니다.

중앙 집중식 인프라를 통해 공격자는 여러 공격 채널에 걸쳐 효율적으로 작전을 수행할 수 있습니다. 브라우저 확장 프로그램, 악성코드 감염, 웹사이트 피해자로부터 수집된 모든 데이터는 동일한 수집 지점으로 모입니다. 이러한 접근 방식은 관리를 간소화하는 동시에 대상 피해자에 대한 포괄적인 정보를 제공합니다.

Koi Security는 해당 그룹이 이미 Firefox 브라우저를 넘어 다른 브라우저로 활동 영역을 넓히기 시작했다는 사실을 발견했습니다. Filecoin Wallet이라는 악성 Chrome 확장 프로그램은 몇 달 전부터 동일한dentdent탈취 수법을 사용했습니다. 이 Chrome 확장 프로그램은 동일한 185.208.156.66 서버 인프라에 호스팅된 도메인들과 통신했습니다.

이번 연결 사례는 GreedyBear가 다양한 브라우저 환경에서 운영을 테스트하고 있음을 확인시켜 줍니다. 크롬, 엣지 및 기타 브라우저에서도 향후 몇 달 안에 유사한 확장 프로그램 캠페인이 진행될 가능성이 높습니다. 여러 플랫폼에서 실험을 진행하려는 이들의 의지는 운영 규모 확장에 대한 확고한 의지를 보여줍니다.

코드 분석에 따르면 AI 도구는 캠페인의 성장과 복잡성을 가속화하는 데 도움이 되었습니다. 악성코드에서 생성된 흔적들은 인공지능이 페이로드 생성 및 확장에 도움을 준다는 것을 시사합니다. 이러한 기술은 개발 주기를 단축하고 다양한 플랫폼에서 보안 탐지 시스템을 더 효과적으로 회피할 수 있도록 해줍니다.