俄罗斯黑客组织利用假冒MetaMask窃取百万美元加密货币

根据Koi Security最新研究，俄罗斯黑客组织”贪婪之熊”（GreedyBear）近期扩大攻击规模，使用150个”武器化火狐扩展程序”针对国际英语用户实施攻击。

这家美以合资安全公司在研究报告中披露，该组织通过150个武器化浏览器扩展、近500个恶意可执行文件及数十个钓鱼网站，在过去五周窃取超百万美元，”重新定义了加密货币盗窃的工业级规模”。

Koi首席技术官Idan Dardikman向Decrypt透露，火狐扩展攻击是”迄今最盈利的渠道”，仅此一项就贡献了百万美元赃款的大部分。

该组织通过伪造主流加密钱包扩展实施攻击，包括MetaMask、Exodus、Rabby Wallet和TronLink等知名产品。

<span data-mce-type=”bookmark” style=”width:0px;overflow:hidden;line-height:0″ class=”mce_SELRES_start”></span>

黑客采用”扩展程序空心化”技术规避审核：先提交无害版本通过商店审核，再通过更新植入恶意代码。

配合大量虚假好评营造可信形象，诱导用户下载后窃取钱包凭证实施资产转移。

相比今年4-7月仅使用40个扩展的上一轮攻击，此次攻击规模呈指数级扩张。

第二攻击渠道涉及近500个Windows恶意程序，主要植入俄语盗版软件分发网站。这些程序包含凭证窃取器、勒索软件和木马病毒，显示其具备”根据需求调整策略的恶意软件分发管道”。

第三攻击向量为数十个钓鱼网站，伪装提供钱包服务、硬件设备或密钥恢复等业务，诱骗用户提交敏感信息。

值得注意的是，火狐扩展主要针对全球英语用户，而恶意程序更多瞄准俄语用户。

所有攻击域名均指向单一IP（185.208.156.66），该地址作为指挥中枢协调攻击并收集数据。Dardikman指出这种集中控制模式”更符合有组织网络犯罪特征，而非国家行为体”——后者通常采用分布式架构避免单点故障。

安全专家给出防护建议：

1. 仅安装信誉良好的开发者发布的扩展
2. 彻底避开盗版软件网站
3. 优先使用官方钱包客户端而非浏览器扩展
4. 大额资产建议采用硬件钱包，但务必通过官网购买（该组织已伪造硬件钱包销售页面）

每日加密简报

每日早间推送行业要闻、独家报道、播客及视频内容 您的邮箱
立即订阅
立即订阅