FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

代号GreedyBear的复杂网络犯罪组织近期发动了迄今为止规模最大的加密货币窃取行动。该组织通过多种攻击渠道部署超过650种恶意工具，从毫无戒备的受害者处窃取超百万美元资金。

工业化攻击模式

与传统专注于单一攻击方式的威胁组织不同，GreedyBear采用了工业化运作模式，同时操控恶意浏览器扩展程序、分发数百个恶意软件可执行文件，并维护复杂的钓鱼基础设施。此次攻击行动标志着网络犯罪活动的重大升级，具体包括：

• 150多个武器化的Firefox扩展程序
• 近500个恶意Windows可执行文件
• 数十个伪装成合法加密货币服务的欺诈网站

AI驱动的攻击演进

所有攻击组件均指向集中式命令与控制基础设施，相关域名解析至IP地址185.208.156.66，实现多威胁向量的高效协同。GreedyBear区别于传统网络犯罪的关键在于其系统性运用人工智能（AI）扩大攻击规模：

• 攻击代码分析显示明显的AI生成特征
• 攻击者可快速生成多样化载荷以规避传统检测机制
• Koi Security研究人员认为这反映了网络犯罪利用先进AI工具加速攻击开发部署的整体趋势

扩展程序空心化技术

该组织采用名为"扩展程序空心化"（Extension Hollowing）的复杂技术规避应用商店安全审查：

1. 首先建立合法发布者身份，上传无害工具（如链接清理器和YouTube下载器）
2. 积累正面评价和用户信任后
3. 系统性"掏空"这些扩展程序，用凭据窃取代码替换原有功能，同时保留已建立的声誉

高级凭据窃取机制

武器化扩展程序展现出卓越的技术复杂性：

• 精确模仿MetaMask、TronLink、Exodus和Rabby Wallet等主流加密货币钱包的合法界面
• 通过JavaScript函数在扩展程序弹窗界面直接截获用户输入字段的凭据
• 初始化阶段执行额外监控功能，将受害者外部IP地址传输至远程服务器

代码分析显示所有扩展程序采用标准化的凭据外泄例程，表明存在集中化的开发和部署协议，既能快速扩展恶意操作规模，又能保持攻击执行的一致性。

参考来源：

Biggest Ever GreedyBear Attack With 650 Hacking Tools Stolen $1 Million from Victims

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）