加密货币盗贼被称为‘GreedyBear’进行工业规模的诈骗 - 详情

经过行业领先专家和资深编辑审查的可信编辑内容。广告披露 一个名为“GreedyBear”的网络犯罪集团被指控通过研究人员称之为几个月来最广泛的加密货币盗窃行动之一，盗取超过100万美元。

相关阅读：温克莱沃斯兄弟向与特朗普相关的矿业风险投资注入比特币。Koi Security的报告显示，该组织正在进行一项协调一致的活动，混合了恶意浏览器扩展、恶意软件和诈骗网站——全部在一个网络下运行。

扩展变成了盗币工具

GreedyBear并没有只专注于一种方法，而是结合了几种。根据Koi Security研究员Tuval Admoni的说法，该组织在其最新的攻击中部署了超过650种恶意工具。

这标志着与其早前在七月进行的“Foxy Wallet”操作相比，出现了大幅上升，当时涉及40个Firefox扩展。

该组织的策略称为“扩展空心化”，首先发布看起来干净的Firefox插件，例如视频下载器或链接清理工具。

这些扩展程序在新的发布者账户下发布，收集虚假的正面评价以显得可信。后来，它们被替换为冒充钱包的恶意版本，如 MetaMask、TronLink、Exodus 和 Rabby Wallet。

安装后，它们会从输入字段中获取凭据，并将其发送到GreedyBear的控制服务器。

隐藏在盗版软件中的恶意软件

调查人员还将近500个恶意Windows文件与同一组关联起来。其中许多属于知名恶意软件家族，如LummaStealer、类似于Luca Stealer的勒索软件，以及充当其他有害程序加载器的木马。

分发通常通过托管破解或“重打包”软件的俄语网站进行。攻击者瞄准那些寻找免费软件的人，远远超出了加密社区。

Koi Security 还发现了模块化恶意软件，其中操作员可以添加或更换功能，而无需完全部署新的文件。

当前加密货币市场总市值为3.9万亿美元。图表：TradingView### 假加密货币服务被创建用于窃取数据

根据报告，除了浏览器攻击和恶意软件，GreedyBear还建立了伪装成真正加密货币解决方案的欺诈性网站。

其中一些据说提供硬件钱包，而其他则是针对诸如 Trezor 之类设备的假钱包修复服务。

相关阅读：特朗普的行政命令可能成为比特币下一个重要催化剂：首席执行官。此外，还有一些假钱包应用程序，设计看起来不错，诱使用户输入恢复短语、私钥和支付信息。

与标准的钓鱼网站不同，这些诈骗页面看起来更像是产品或支持门户。

报告补充说，其中一些仍然活跃，仍在收集敏感数据，而其他的则处于待命状态，以备将来使用。

调查人员发现，几乎所有与这些操作相关的域名都指向一个单一的IP地址——185.208.156.66。该服务器充当了该活动的中心，处理被盗凭据、协调勒索软件活动，并托管诈骗网站。

来自Unsplash的特色图片，来自TradingView的图表

编辑过程 bitcoinist 的编辑过程侧重于提供经过彻底研究、准确且无偏见的内容。我们坚持严格的来源标准，每个页面都经过我们顶尖技术专家和经验丰富的编辑团队的仔细审查。这个过程确保了我们内容的完整性、相关性和对读者的价值。