超過1百萬美元被盜：GreedyBear的高級瀏覽器攻擊活動

根據Koi Security最近的安全報告，俄羅斯駭客集團GreedyBear在過去五週內成功策劃了一場大規模的加密貨幣盜竊行動，損失超過100萬美元。這些網路犯罪分子部署了150個經過修改的Firefox擴展、約500個惡意Windows可執行檔，以及數十個釣魚頁面來執行他們的攻擊策略。

瀏覽器擴展利用：主要的收入來源

Firefox擴展活動已證明是該集團最賺錢的方法，產生了大部分的100萬美元被盜資金。攻擊方法依賴一種名為Extension Hollowing的欺騙技術，能繞過應用商店的安全協議。駭客首先將看似合法的熱門加密貨幣錢包版本——包括MetaMask、Exodus、Rabby Wallet和TronLink——上傳到分發渠道。一旦用戶下載這些擴展，隨後的更新便會注入惡意程式碼。

為了提升可信度，該集團會透過假冒的正面評論人工抬高用戶評分，營造出一種虛假的合法性。這層社會工程手法大大增加了毫無戒心的加密貨幣用戶的下載率。一旦安裝，受感染的擴展便會作為憑證收集工具，悄悄捕捉錢包的私鑰和存取憑證。這些被盜的憑證隨即被用來抽取受害者錢包中的加密貨幣。

多元化的攻擊基礎設施

除了基於瀏覽器的威脅外，GreedyBear還運營著一條平行的攻擊線，使用近500個惡意Windows可執行檔。這些檔案被策略性地分發到俄羅斯的軟體倉庫，這些倉庫中存放著盜版或修改過的應用程式。這些可執行檔具有多重用途：部分用作竊取存儲的帳戶資訊的憑證竊取器，另一些則部署勒索軟體來加密受害者資料，還有一些則作為特洛伊木馬，旨在建立持久的系統存取權。

這種多層次的策略展現了高階的運營規劃，使得該集團能維持多個感染向量，並能適應個別用戶和平台所採用的安全反制措施。