GreedyBear利用伪造钱包扩展盗取100万美元加密货币

在过去五周内，俄罗斯黑客组织GreedyBear发动了一场大规模加密货币盗窃行动，窃取了超过100万美元的数字资产。攻击者部署了150个恶意Firefox扩展和近500个带恶意代码的Windows可执行文件，通过钓鱼手段窃取钱包凭证。他们利用“扩展空壳化”技术，将正版MetaMask、Exodus、Rabby Wallet和TronLink插件替换为伪造版本，以收集私钥。受害者在安装这些钓鱼浏览器扩展后，不知不觉中泄露了私钥，导致资金被直接转移。除了浏览器插件，攻击者还通过盗版软件站点传播LummaStealer、勒索软件和木马程序。几乎所有恶意域名均指向同一IP（185.208.156.66），用作指挥控制中心。Koi Security首席技术官Idan Dardikman证实，Firefox扩展是此次行动中最赚钱的攻击载体。这起加密货币盗窃事件再次凸显了持续存在的钓鱼风险，提醒交易者务必核实扩展来源，定期审查已安装插件，并仅从官方渠道下载，以保障钱包安全。