Koi Security 称，GreedyBear 骗局通过 Firefox 扩展程序传播，窃取了价值 100 万美元的加密货币。

GreedyBear诈骗团伙通过有组织的攻击活动窃取了价值超过100万美元的加密货币。

Koi Security报告称，该组织除了发布500个恶意可执行文件外，还推出了150个恶意Firefox扩展程序。此次行动利用虚假钱包扩展程序、钓鱼网站和恶意软件， 加密货币 用户发起攻击。

Firefox 扩展程序欺诈针对的是热门加密钱包。

GreedyBear骗局在Firefox应用商店推出了超过150款恶意扩展程序，专门针对加密货币用户。这些恶意扩展程序伪装成 MetaMask、 Trondentdentdentdentdentdentdentdent用户尝试登录时

黑客最初会制作一些功能有限的、看起来很正规的扩展程序，例如链接清理器和 YouTube 下载器。他们通常会推出 5 到 7 个通用实用程序，并使用全新的发布者名称，以此来建立长期的信誉。

一旦犯罪分子通过真实的正面评价建立起信任，他们就会彻底清除这些扩展程序的所有内容。他们会更改名称、图标，并注入恶意代码，但保留原有的正面评价记录。这种方法使得恶意扩展程序在浏览应用商店的新用户眼中看起来值得信赖。

这些扩展程序会从弹出窗口的输入框中窃取钱包dent。窃取的信息会被传输到犯罪团伙控制的远程服务器，以便日后利用。此外，这些扩展程序还会在启动时传输受害者的IP地址，用于 trac。

此次行动是对之前Foxy Wallet活动（已dent出40个恶意扩展程序）的后续行动。目前，恶意扩展程序的数量已比最初案例增加了一倍以上。用户报告证实，受害者在不同时间段内使用这些虚假钱包扩展程序，损失了大量加密货币。

多平台攻击结合了恶意软件和诈骗网站

GreedyBear 骗局 除了推广浏览器扩展程序外，还运营着近 500 个恶意 Windows 可执行文件。这些程序通过俄罗斯网站传播，这些网站向毫无戒心的用户分发破解版和盗版软件。该恶意软件库涵盖多种威胁类别，旨在造成最大程度的破坏。

像 LummaStealer 这样的dent窃取程序会窃取受害者电脑上存储的加密钱包信息。勒索软件变种会加密用户文件，并要求支付加密货币以换取解密密钥。通用木马程序则会提供后门，以便在需要时投放额外的恶意代码。

该团伙还维护着一套用于窃取数据的仿冒加密货币服务网站网络。这些诈骗网站看起来与正规的加密货币服务网站别无二致，并非典型的钓鱼网站。带有 Jupiter 品牌标识的硬件钱包也包含伪造的界面模型，旨在诱骗潜在购买者泄露支付信息。

报告中提到的另一个例子是声称可以修复Trezor钱包损坏产品的虚假网站。这些冒充技术支持的网站会窃取用户的钱包恢复词和私钥。有些网站仍然活跃，而另一些则处于休眠状态，伺机发动未来的定向攻击。

攻击手段的多样性表明，GreedyBear 骗局采用的是广泛的传播渠道，而非单一技术。这种多元化的策略使该团伙能够根据实际效果灵活调整战术。不同恶意软件家族对基础设施的复用，也证实了所有攻击环节背后存在着集中协调。

集中式服务器控制着全球盗窃行动

GreedyBear 通过 185.208.156.66 这个 IP 地址运营其整个犯罪网络。几乎所有用于扩展名、恶意软件载荷和钓鱼网站的域名都连接到这个中央服务器。该中心负责处理命令与控制通信、dent收集、勒索软件协调以及诈骗网站托管。

集中式基础设施使攻击者能够高效地跨多个攻击渠道简化操作。来自浏览器扩展程序、恶意软件感染和网站受害者的所有数据都流向同一个收集点。这种方法简化了管理，同时提供了关于目标受害者的全面情报。

Koi Security发现该组织已开始将攻击范围扩展到Firefox浏览器之外。几个月前，一款名为Filecoin Wallet的恶意Chrome扩展程序就使用了dent的dent窃取手段。该Chrome扩展程序与托管在同一185.208.156.66服务器基础设施上的域名进行了通信。

这一关联证实了 GreedyBear 正在测试跨不同浏览器生态系统的运营模式。Chrome、Edge 和其他浏览器很可能在未来几个月内面临类似的扩展程序推广活动。该组织愿意跨平台进行试验，表明其致力于扩大运营规模。

代码分析表明，人工智能工具加速了此次攻击活动的增长和复杂性。恶意软件中生成的痕迹表明，人工智能参与了有效载荷的创建和扩展。这项技术能够加快开发周期，并更好地绕过不同平台上的安全检测系统。