GreedyBearと名付けられた新たに発見されたキャンペーンは、人気の暗号資産ウォレットを装い、デジタル資産100万ドル以上を盗むために設計された150以上の悪意ある拡張機能をFirefoxマーケットプレイスに仕掛けていました。
公開されたブラウザーアドオンは、MetaMask、TronLink、Exodus、Rabby Walletなどを装っていると、Koi Securityの研究者Tuval Admoni氏は述べています。
この活動が注目される理由は、脅威アクターがMozillaによるセーフガードを回避し、ユーザーの信頼を悪用するために、サイバーセキュリティ企業が「Extension Hollowing」と呼ぶ手法を用いている点です。なお、このキャンペーンの一部は、先週セキュリティ研究者Lukasz Olejnik氏によって初めて記録されました。
「悪意ある拡張機能を最初の審査でこっそり通そうとするのではなく、まず正当な拡張機能のポートフォリオを構築し、その後誰も見ていないタイミングで悪用するのです」とAdmoni氏は木曜日に公開したレポートで述べています。
これを実現するため、攻撃者はまずマーケットプレイスにパブリッシャーアカウントを作成し、実際の機能を持たない無害な拡張機能をアップロードして初期審査を回避し、偽の好意的なレビューを投稿して信頼性を装い、その後内部を悪意ある機能に書き換えます。
偽の拡張機能は、無警戒なユーザーが入力したウォレット認証情報を取得し、攻撃者が管理するサーバーに流出させるよう設計されています。また、被害者のIPアドレスも収集し、追跡目的に利用している可能性があります。
このキャンペーンは、以前のバージョンであるFoxy Walletの拡張と見られており、脅威アクターが同様の目的で40本以上の悪意ある拡張機能をMozilla Firefox向けに公開していました。今回の拡張機能の急増は、作戦の規模が拡大していることを示しています。
偽ウォレットによる暗号資産流出攻撃は、ロシアのさまざまなサイトを通じてクラック版や海賊版ソフトウェアを配布し、情報窃取型マルウェアやランサムウェアを展開するキャンペーンによってさらに強化されています。
GreedyBearのアクターはまた、ウォレット修復ツールなどの暗号資産関連製品やサービスを装った詐欺サイトを設置し、ユーザーを騙してウォレット認証情報や支払い情報を入力させ、認証情報の窃取や金融詐欺を引き起こしている可能性があります。
Koi Securityは、これら3つの攻撃ベクトルが単一の脅威アクターに関連していることを、これらの活動で使用されたドメインがすべて単一のIPアドレス(185.208.156[.]66)を指している事実から突き止めました。このIPアドレスはデータ収集と管理のためのコマンド&コントロール(C2)サーバーとして機能しています。
拡張機能関連の攻撃が他のブラウザーマーケットプレイスにも広がっている証拠があります。これは、同じC2サーバーと基盤となるロジックを用いて認証情報を盗み出すGoogle Chrome拡張機能「Filecoin Wallet」が発見されたことに基づいています。
さらに悪いことに、アーティファクトの分析から、これらが人工知能(AI)を活用したツールで作成された可能性がある兆候も明らかになりました。これは、脅威アクターがAIシステムを悪用して攻撃を大規模かつ迅速に展開していることを浮き彫りにしています。
「この多様性は、グループが単一のツールセットを展開しているのではなく、必要に応じて戦術を変えられる広範なマルウェア配布パイプラインを運用していることを示しています」とAdmoni氏は述べています。
「このキャンペーンは進化しており、今や規模と範囲が異なります。これは、数百のマルウェアサンプルと詐欺インフラに支えられた、マルチプラットフォームの認証情報および資産窃取キャンペーンへと発展しています。」
Ethereumドレイナーがトレーディングボットを装い暗号資産を窃取#
この発表は、SentinelOneが、トレーディングボットを装った悪意あるスマートコントラクトを配布し、ユーザーのウォレットから資金を抜き取る広範かつ継続的な暗号資産詐欺を警告したタイミングで行われました。この不正なEthereumドレイナーの手口は2024年初頭から活動しており、すでに脅威アクターは90万ドル以上の利益を得ていると推定されています。
「これらの詐欺は、暗号資産トレーディングボットの仕組みや、Web3プロジェクト向けのウェブベース統合開発環境(IDE)であるRemix Solidity Compilerプラットフォーム上でスマートコントラクトをデプロイする方法を説明するYouTube動画を通じて宣伝されています」と研究者Alex Delamotte氏は述べています。「動画の説明欄には、武器化されたスマートコントラクトコードをホストする外部サイトへのリンクが共有されています。」
これらの動画はAI生成とされており、他のソースの暗号資産ニュースをプレイリストとして投稿することで信頼性を高めようとする古いアカウントから公開されています。また、動画には圧倒的に肯定的なコメントが並び、脅威アクターがコメント欄を積極的に管理し、否定的なフィードバックを削除していることが示唆されます。
この詐欺を仕掛けているYouTubeアカウントの一つは2022年10月に作成されました。これは、詐欺師が長期間かけてアカウントの信頼性を徐々に高めたか、もしくはTelegramやAccs-market、Aged Profilesのような専用サイトで販売されている古いYouTubeチャンネルを購入した可能性を示しています。
攻撃は、被害者がスマートコントラクトをデプロイした後、被害者が新しいコントラクトにETHを送金するよう指示され、その資金が難読化された脅威アクター管理のウォレットに送られることで次の段階に進みます。
「AI生成コンテンツと販売されている古いYouTubeアカウントの組み合わせにより、資金力の乏しいアクターでも、アルゴリズムが『確立済み』と判断するYouTubeアカウントを入手し、正当性を装ってカスタマイズされたコンテンツを投稿できるようになります」とDelamotte氏は述べています。
翻訳元: https://thehackernews.com/2025/08/greedybear-steals-1m-in-crypto-using.html