Koi Security 的一篇博客文章问道:“当网络犯罪分子不再墨守成规,开始像财富 500 强公司那样思考时,会发生什么?” “你会遇到 GreedyBear,这个攻击组织刚刚重新定义了工业级加密货币盗窃。” “150 个武器化的 Firefox 扩展程序(冒充 MetaMask 和 TronLink 等热门加密货币钱包)。近 500 个恶意可执行文件。数十个钓鱼网站。一个协同攻击基础设施。据用户报告,被盗金额超过 100 万美元。” 他们上传 5-7 个看似无害的扩展程序,例如链接清理器、YouTube 下载器和其他没有实际功能的常用实用程序……他们为这些通用扩展程序发布数十条虚假的正面评价来建立信誉。建立信任后,他们会“掏空”这些扩展程序——更改名称、图标,并在保留正面评价记录的同时注入恶意代码。这种方法使 GreedyBear 能够绕过市场安全,在初始审核过程中假装合法,然后将已经获得用户信任和正面评价的成熟扩展程序武器化。这些武器化的扩展程序会直接从扩展程序自身弹出界面中的用户输入字段捕获钱包凭证,并将其泄露到该组织控制的远程服务器……除了恶意软件和扩展程序外,该威胁组织还推出了一个伪装成加密相关产品和服务的诈骗网站网络。这些网站并非典型的模仿登录门户的钓鱼页面,而是伪装成花哨的虚假产品登陆页面,宣传数字钱包、硬件设备或钱包维修服务……虽然这些网站的设计各不相同,但它们的目的似乎相同:诱骗用户输入个人信息、钱包凭证或支付信息——可能导致凭证盗窃、信用卡欺诈或两者兼而有之。其中一些域名处于活跃状态且功能齐全,而其他一些域名则可能是为了将来激活或进行有针对性的诈骗而准备的……此次攻击活动的一个显著特点是其基础设施的整合:几乎所有域名(包括扩展程序、EXE 有效载荷和钓鱼网站)都解析到一个 IP 地址:185.208.156.66——该服务器充当命令与控制、凭证收集、勒索软件协调和诈骗网站的中心枢纽,使攻击者能够跨多个渠道简化操作……我们对该攻击活动代码的分析显示出明显的 AI 生成痕迹。这使得攻击者比以往任何时候都更快、更轻松地扩展操作规模、多样化有效载荷并逃避检测。这并非昙花一现的趋势,而是新常态。研究人员认为,该组织“很可能正在其他市场测试或准备并行操作”。
在 Slashdot 上阅读更多内容。