100万ドル超の被害：GreedyBearの巧妙なブラウザ攻撃キャンペーン

ロシアのハッカーグループGreedyBearは、過去5週間にわたり、100万ドルを超える暗号通貨の大規模窃盗作戦を成功させたと、Koi Securityの最新のセキュリティレポートは報告している。サイバー犯罪者たちは、150の改造されたFirefox拡張機能、およそ500の悪意のあるWindows実行ファイル、そして数十のフィッシングページを展開し、攻撃戦略を実行した。

ブラウザ拡張機能の悪用：主要な収益源

Firefox拡張キャンペーンは、グループにとって最も収益性の高い手法であり、盗まれた資金の大部分を生み出している。この攻撃手法は、「Extension Hollowing」と呼ばれる欺瞞的な技術に依存しており、アプリストアのセキュリティプロトコルを回避する。ハッカーは、MetaMask、Exodus、Rabby Wallet、TronLinkなどの人気暗号通貨ウォレットの正規に見えるバージョンを配布チャネルにアップロードし、ユーザーがこれらの拡張機能をダウンロードすると、その後のアップデートで悪意のあるコードを注入する。

信頼性を高めるために、グループは偽の好意的なレビューを通じてユーザーレーティングを人工的に膨らませ、偽の正当性を演出している。このソーシャルエンジニアリング層は、無警戒な暗号通貨ユーザーのダウンロード率を大幅に増加させる。インストール後、侵害された拡張機能は資格情報収集ツールとして機能し、ウォレットの秘密鍵やアクセス資格情報を静かに捕捉する。これらの盗まれた資格情報は、被害者のウォレットから暗号通貨を引き出すために悪用される。

多様な攻撃インフラストラクチャ

ブラウザを超えた脅威として、GreedyBearはほぼ500の悪意のあるWindows実行ファイルを用いた並行攻撃ストリームも運用している。これらのファイルは、海賊版や改造されたアプリケーションをホストするロシアのソフトウェアリポジトリを通じて戦略的に配布されている。これらの実行ファイルは複数の目的を持ち、一部は保存されたアカウント情報を狙った資格情報窃盗ツールとして機能し、他はランサムウェアを展開して被害者のデータを暗号化し、いくつかは持続的なシステムアクセスを確立するためのトロイの木馬として動作する。

この多層的なアプローチは、高度な運用計画を示しており、グループが複数の感染経路を維持し、個々のユーザーやプラットフォームによるセキュリティ対策に適応できることを示している。