暗号資産詐欺グループGreedyBearが偽の拡張機能とマルウェアを使用して100万ドル以上を盗む

「GreedyBear（グリーディベア）」と呼ばれる暗号資産脅威アクターのグループが、悪意のあるブラウザ拡張機能、マルウェア、詐欺サイトを駆使した産業規模のキャンペーンで100万ドル以上を盗んだと研究者らが報告しています。

Koi Securityの研究者Tuval Admoniによると、GreedyBearは「産業規模の暗号資産窃盗を再定義した」とのことで、このグループのアプローチは複数の実証済み攻撃手法を一つの協調作戦に融合させているとしています。

多くのサイバー犯罪組織がフィッシング、ランサムウェア、偽の拡張機能などの単一のベクトルに特化している一方で、GreedyBearは大規模に3つすべてを同時に追求しています。

この発見は、ブロックチェーンセキュリティ企業のPeckShieldが7月の暗号資産犯罪の急増を報告した直後に明らかになりました。悪意のある行為者たちは17件の主要インシデントで約1億4200万ドルを盗んでいます。

悪意のあるブラウザ拡張機能

Koi Securityの調査によると、GreedyBearの現在のキャンペーンではすでに暗号資産ウォレットユーザーを標的とする650以上の悪意のあるツールが展開されています。

Admoniは、これがグループの以前の「Foxy Wallet」キャンペーンからのエスカレーションを示していると指摘しました。7月には40の悪意のあるFirefox拡張機能が公開されていました。

このグループはKoiが「Extension Hollowing（拡張機能の中空化）」と呼ぶ技術を使用して、マーケットプレイスのチェックをバイパスし、ユーザーの信頼を獲得しています。

運営者はまず、リンクサニタイザーやビデオダウンローダーなどの無害に見えるFirefox拡張機能を新しい発行者アカウントで公開します。これらは偽の肯定的なレビューで補強された後、メタマスク、TronLink、Exodus、Rabby Walletなどを標的とするウォレット偽装ツールに変換されます。

武器化されると、これらの拡張機能はユーザー入力フィールドから直接認証情報を収集し、GreedyBearのコマンド・アンド・コントロールサーバーに送信します。

暗号資産マルウェア

拡張機能以外にも、研究者らは同じインフラに関連する約500の悪意のあるWindowsの実行ファイルを発見しました。

これらのファイルは複数のマルウェアファミリーにまたがり、LummaStealer のような認証情報窃取ツール、Luca Stealer に似たランサムウェアの亜種、他のペイロードのローダーとして機能する可能性が高い一般的なトロイの木馬などが含まれています。

Koi Securityは、これらのサンプルの多くが、クラックされた、海賊版の、または「再パッケージ化された」ソフトウェアを提供するロシア語のウェブサイトでホストされているマルウェア配布パイプラインに登場していると指摘しています。この配布方法は、グループのリーチをセキュリティ意識の低いユーザーに広げるだけでなく、暗号資産ネイティブの視聴者を超えて感染を広げることも可能にしています。

研究者らはまた、モジュール式の機能を示すマルウェアサンプルも発見しました。これは、運営者が完全に新しいマルウェアを展開することなく、ペイロードを更新したり機能を交換したりできることを示唆しています。

詐欺暗号資産サービス

これらのマルウェア操作と並行して、GreedyBearは暗号資産製品やサービスを偽装する詐欺サイトのネットワークを維持しています。これらのウェブサイトは、無防備なユーザーから機密情報を収集するように設計されています。

Koi Securityは、ハードウェアウォレットを宣伝する偽のランディングページや、Trezorのような人気デバイスを修理すると主張する偽のウォレット修理サービスを発見しました。他のページでは、偽のデジタルウォレットや暗号資産ユーティリティが宣伝されており、すべてプロフェッショナルグレードのデザインでした。

取引所のログインページを模倣する従来のフィッシングサイトとは異なり、これらの詐欺は製品紹介やサポートサービスを装っています。訪問者はウォレットのリカバリーフレーズ、秘密鍵、支払い情報、その他の機密データの入力に誘導され、攻撃者はそれらを抽出して後続の窃盗やカード詐欺に利用します。

Koiの調査によると、これらのドメインの一部はまだアクティブでデータを収集しており、他のドメインは休眠状態に見えるものの、将来のキャンペーンで活性化する準備ができていることがわかりました。

中央ノード

さらに、Koiは、GreedyBearの拡張機能、マルウェア、詐欺サイトに接続されているほぼすべてのドメインが単一のIPアドレス — 185.208.156.66 — に解決されることを発見しました。

このサーバーは、認証情報の収集、ランサムウェアの調整、詐欺サイトのホスティングを管理する作戦のコマンド・アンド・コントロールハブとして機能しています。一つのインフラに操作を統合することで、このグループは被害者を追跡し、ペイロードを調整し、盗まれたデータをより速く効率的に配布することができます。

Admoniによると、キャンペーンのコード内に「AI生成の成果物」の兆候も見られ、これにより「攻撃者が操作を拡大し、ペイロードを多様化し、検出を回避することがこれまでになく速く簡単になっている」とのことです。

「これは一過性のトレンドではなく、新しい常識です。攻撃者がますます高性能なAIで武装する中、防御側も同様に高度なセキュリティツールとインテリジェンスで対応しなければなりません」とAdmoniは述べています。