GreedyBearの武器化されたブラウザ拡張機能が$1M で暗号資産保有を侵害した方法

高度なサイバー犯罪組織の活動がKoi Securityの研究者によって明らかになり、ロシアの脅威グループGreedyBearによる大規模なキャンペーンが暴露されました。8月までの5週間にわたり、攻撃者は多層的な攻撃インフラを通じて、合計$1 百万ドル以上の暗号資産を吸い上げました。

兵器庫：150のブラウザ拡張機能と500以上の悪意のあるファイル

この作戦の規模は驚くべきものでした。GreedyBearは150の武器化されたFirefox拡張機能を展開し、正規のプラットフォームを模倣した数十の偽サイトに配布しました。同時に、ハッカーはロシアのソフトウェアリポジトリにアップロードされた約500の悪意のあるWindows実行ファイルを利用して、サポートインフラからトークンを盗み出しました。Koi SecurityのCTO、Idan Dardikmanによると、Firefoxを基盤とした攻撃が最も収益性の高い手法であり、$1 百万ドルの大半を稼ぎ出したとのことです。

ウォレットスプーフィング技術

主な手法は、人気の暗号資産ウォレットの偽造バージョンを作成することでした。ハッカーはMetaMask、Exodus、Rabby Wallet、TronLinkなど、暗号エコシステムで広く使われているセルフカストディソリューションを標的にしました。

攻撃者は、Extension Hollowingと呼ばれる高度な技術を用いて、市場のセキュリティレビューを回避しました。このプロセスは段階的に進行し、最初に正規に見える拡張機能を公式ストアに提出し、初期の審査を通過させます。承認されると、その後のアップデートに悪意のあるコードが含まれ、自動システムによる検出を免れました。信頼性を高めるために、脅威アクターはポジティブなユーザーレビューを偽造し、信頼性のある印象を作り出し、ダウンロードを促進しました。

資格情報の窃盗とその先

ユーザーが感染した拡張機能をインストールすると、マルウェアは即座にウォレットの資格情報や秘密鍵を収集し始めました。これらの盗まれたアクセス情報は、まさに「王国の鍵」となり、攻撃者はそれを使って感染したウォレットから暗号資産を引き出しました。

ブラウザベースの攻撃に加え、ロシアのソフトウェアミラーに配布された悪意のある実行ファイルは、資格情報窃盗ツール、ランサムウェア、さまざまなトロイの木馬バリアントを含む広範なツールキットの配信手段として機能しました。この多角的なアプローチにより、ターゲットシステムへの侵入と機密データの抽出の複数の経路が確保されました。

このキャンペーンは、セキュリティチェーンの重大な脆弱性を浮き彫りにしています。それは、ユーザーが公式に見える拡張機能に置く信頼と、正規のソフトウェア配信チャネルのアップデートメカニズムを攻撃者が悪用しやすいという点です。