超过100万美元被盗：GreedyBear的复杂浏览器攻击行动

俄罗斯黑客组织GreedyBear在过去五周内成功策划了一场大规模的加密货币盗窃行动，损失超过100万美元，依据Koi Security的最新安全报告。这些网络犯罪分子部署了150个经过修改的Firefox扩展程序、约500个恶意Windows可执行文件以及数十个钓鱼页面，以执行他们的攻击策略。

浏览器扩展利用：主要收入来源

Firefox扩展程序活动已被证明是该组织最赚钱的方法，产生了大部分100万美元的被盗资金。攻击方法依赖于一种名为Extension Hollowing的欺骗技术，绕过了应用商店的安全协议。黑客首先在分发渠道上传包含MetaMask、Exodus、Rabby Wallet和TronLink等流行加密钱包的合法外观版本。一旦用户下载这些扩展，后续的更新就会向应用中注入恶意代码。

为了增强可信度，该组织通过伪造的正面评价人为抬高用户评分，制造虚假的合法性假象。这一社会工程层面显著提高了毫无戒备的加密货币用户的下载率。一旦安装，受感染的扩展就会作为凭证收集工具，悄无声息地捕获钱包的私钥和访问凭证。这些被盗的凭证随后被用作武器，从受害者的钱包中提取加密货币资产。

多元化的攻击基础设施

除了基于浏览器的威胁外，GreedyBear还运营着一条平行的攻击链，使用近500个恶意Windows可执行文件。这些文件通过托管盗版或修改应用程序的俄罗斯软件仓库进行战略性分发。这些可执行文件具有多重用途：一些作为凭证窃取器，针对存储的账户信息；一些部署勒索软件以加密受害者数据；还有一些作为特洛伊木马，旨在建立持久的系统访问权限。

这种多层次的攻击策略展示了复杂的操作规划，使得该组织能够维持多条感染路径，并适应各个用户和平台所采取的安全对策。