Firefox add-on 商店 发现 150 盗取加密货币的扩展程序
一个名为“GreedyBear”的恶意项目潜入 Mozilla 附加组件商店,利用 150 个恶意扩展程序攻击 Firefox 用户,并从受害者那里窃取了约 1,000,000 美元。
一个名为“GreedyBear”的恶意活动潜入 Mozilla 附加组件商店,利用 150 个恶意扩展程序攻击 Firefox 用户,并从受害者那里窃取了约 1,000,000 美元。
该活动由 Koi Security 发现并记录,这些恶意扩展附加组件模仿了 MetaMask、TronLink 和 Rabby 等知名平台的加密货币钱包。这些addon最初以良性形式上传,以便被 Firefox 接受,并积累虚假的正面评论。
在后期,发布者会去掉原来的品牌,用新的名称和标识取而代之,同时注入恶意代码来窃取用户的钱包凭证和 IP 地址。
恶意代码充当键盘记录器(key logger),捕获来自表单字段或显示弹出窗口的输入,然后将其发送到攻击者的服务器。
“恶意扩展程序直接从用户输入字段捕获钱包凭证,并将其泄露到该组织控制的远程服务器。” Koi Security 的 Tuval Admoni 解释道 :“在初始化期间,它们还会传输受害者的外部 IP 地址,可能用于跟踪或定位目的。”
此次加密货币窃取行动还得到了数十个俄语盗版软件网站的协助,这些网站为 500 种不同的恶意软件可执行文件的分发提供了便利,此外还有一个冒充 Trezor、Jupiter Wallet 和假钱包修复服务的网站网络。对于恶意软件,有效载荷包括通用木马、信息窃取程序(LummaStealer)甚至勒索软件。
所有这些网站都链接到同一个 IP 地址 185【.】208【.】156【.】66,该地址是 GreedyBear 行动的命令和控制 (C2) 中心
Koi Security 将其发现报告给了 Mozilla,有问题的扩展程序已从 Firefox 的附加组件商店中删除。然而,其规模之大和执行起来的简单性表明了人工智能如何帮助网络犯罪分子制定大规模计划并迅速从全面打击中恢复过来。报告解释道:“我们对该活动代码的分析显示出了人工智能生成的明显痕迹。”
“这使得攻击者比以往更快、更轻松地扩大行动规模、分散有效载荷并逃避检测。”
上一次针对 Firefox 商店的大规模攻击 发生在上个月 ,涉及 40 多个伪装成 Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr 和 MyMonero 钱包的虚假扩展程序。 Koi Security 还报告称,有迹象表明 GreedyBear 的运营商正在探索扩展到 Chrome 网上应用店,因为他们已经发现一个名为“Filecoin Wallet”的恶意 Chrome 扩展程序,它使用相同的数据盗窃逻辑并与相同的 IP 地址进行通信。为了最大限度地降低这些威胁带来的风险,在浏览器上安装附加组件之前,请务必阅读多个用户评论并检查扩展程序和发布者的详细信息。
您可以在项目自己的网站上找到官方钱包扩展,这些扩展要么直接托管,要么链接到在线商店的合法附加组件。
大家一定注意管理好自己的钱包呀~多看看多查查总是没有错的~
祝大家钱包鼓鼓 安安全全
该活动由 Koi Security 发现并记录,这些恶意扩展附加组件模仿了 MetaMask、TronLink 和 Rabby 等知名平台的加密货币钱包。这些addon最初以良性形式上传,以便被 Firefox 接受,并积累虚假的正面评论。
在后期,发布者会去掉原来的品牌,用新的名称和标识取而代之,同时注入恶意代码来窃取用户的钱包凭证和 IP 地址。
恶意代码充当键盘记录器(key logger),捕获来自表单字段或显示弹出窗口的输入,然后将其发送到攻击者的服务器。
“恶意扩展程序直接从用户输入字段捕获钱包凭证,并将其泄露到该组织控制的远程服务器。” Koi Security 的 Tuval Admoni 解释道 :“在初始化期间,它们还会传输受害者的外部 IP 地址,可能用于跟踪或定位目的。”
此次加密货币窃取行动还得到了数十个俄语盗版软件网站的协助,这些网站为 500 种不同的恶意软件可执行文件的分发提供了便利,此外还有一个冒充 Trezor、Jupiter Wallet 和假钱包修复服务的网站网络。对于恶意软件,有效载荷包括通用木马、信息窃取程序(LummaStealer)甚至勒索软件。
所有这些网站都链接到同一个 IP 地址 185【.】208【.】156【.】66,该地址是 GreedyBear 行动的命令和控制 (C2) 中心
Koi Security 将其发现报告给了 Mozilla,有问题的扩展程序已从 Firefox 的附加组件商店中删除。然而,其规模之大和执行起来的简单性表明了人工智能如何帮助网络犯罪分子制定大规模计划并迅速从全面打击中恢复过来。报告解释道:“我们对该活动代码的分析显示出了人工智能生成的明显痕迹。”
“这使得攻击者比以往更快、更轻松地扩大行动规模、分散有效载荷并逃避检测。”
上一次针对 Firefox 商店的大规模攻击 发生在上个月 ,涉及 40 多个伪装成 Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr 和 MyMonero 钱包的虚假扩展程序。 Koi Security 还报告称,有迹象表明 GreedyBear 的运营商正在探索扩展到 Chrome 网上应用店,因为他们已经发现一个名为“Filecoin Wallet”的恶意 Chrome 扩展程序,它使用相同的数据盗窃逻辑并与相同的 IP 地址进行通信。为了最大限度地降低这些威胁带来的风险,在浏览器上安装附加组件之前,请务必阅读多个用户评论并检查扩展程序和发布者的详细信息。
您可以在项目自己的网站上找到官方钱包扩展,这些扩展要么直接托管,要么链接到在线商店的合法附加组件。
大家一定注意管理好自己的钱包呀~多看看多查查总是没有错的~
祝大家钱包鼓鼓 安安全全
关于作者
评论0次