GreedyBear」と名付けられた悪質なキャンペーンがMozillaアドオンストアに忍び込み、150の悪質な拡張機能でFirefoxユーザーを標的にし、無防備な被害者から推定100万ドルを盗んでいる。
Koi Securityによって発見され、文書化されたこのキャンペーンは、MetaMask、TronLink、Rabbyといった有名なプラットフォームの暗号通貨ウォレット拡張機能になりすましている。
これらの拡張機能は、当初はFirefoxに受け入れられるように良識的な形でアップロードされ、偽の肯定的なレビューを蓄積する。
後の段階で、パブリッシャは元のブランディングを取り除き、新しい名前やロゴに置き換えるとともに、悪意のあるコードを注入してユーザーのウォレット認証情報やIPアドレスを盗みます。
Source:Koi Security
悪意のあるコードはキーロガーとして機能し、フォームフィールドや表示されたポップアップ内の入力をキャプチャし、攻撃者のサーバーに送信されます。
「兵器化されたエクステンションは、エクステンション自身のポップアップ・インターフェース内のユーザー入力フィールドから直接ウォレットのクレデンシャルをキャプチャし、グループがコントロールするリモート・サーバーにエクフィルトします」とKoi SecurityのTuval Admoniは説明します。
「初期化の際、被害者の外部IPアドレスも送信される。
この暗号流出作戦は、500種類のマルウェア実行ファイルの配布を促進する数十のロシア語圏の海賊版ソフトウェアウェブサイトや、Trezor、Jupiter Wallet、偽のウォレット修理サービスになりすましたウェブサイトのネットワークによって補完されている。
マルウェアの場合、ペイロードには一般的なトロイの木馬、情報窃盗(LummaStealer)、あるいはランサムウェアが含まれます。
これらのサイトはすべて185.208.156.66という同じIPアドレスにリンクされており、GreedyBearの活動のコマンド&コントロール(C2)ハブとして機能しています。
ソースはこちら:Koi Security
Koi Security は調査結果を Mozilla に報告し、問題の拡張機能は Firefox のアドオンストアから削除された。
しかし、その大規模さと明らかな実行の容易さは、AIがいかにサイバー犯罪者が大規模なスキームを作成し、完全なテイクダウンから迅速に回復するのに役立つかを実証するものである。
「このキャンペーンのコードを分析したところ、AIが生成したアーティファクトの明らかな兆候が見られました。
“これにより、攻撃者はこれまで以上に迅速かつ容易に、作戦の規模を拡大し、ペイロードを多様化し、検知を回避することができる。”
Firefoxストアに対する前回の大規模な攻撃は先月発生し、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMoneroのウォレットのふりをした40以上の偽の拡張機能が関与していた。
Mozillaが2025年6月に暗号排出アドオンを検出するシステムを導入したにもかかわらず、こうした詐欺的な拡張機能がいまだにFirefoxストアに出回っていることは注目に値する。
Koi Securityはまた、GreedyBearの運営者がChromeウェブストアへの進出を模索している兆候を確認したと報告している。彼らはすでに、同じデータ盗難ロジックを使用し、同じIPアドレスで通信する「Filecoin Wallet」という悪意のあるChrome拡張機能を発見している。
このような脅威からのリスクを最小限に抑えるには、ブラウザにアドオンをインストールする前に、必ず複数のユーザーレビューを読み、拡張機能と発行元の詳細を確認してください。
公式のウォレット拡張機能は、プロジェクト自身のウェブサイトで見つけることができます。直接ホストされているか、オンラインストアで正規のアドオンへのリンクが張られています。
このキャンペーンとユーザーを保護するための取り組みについてMozillaとGoogleに連絡し、回答があればこの記事を更新します。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2025マルウェアの93%が使用するトップATT&CKテクニックの分析
パスワード・ストアを標的とするマルウェアが3倍に急増、攻撃者はステルス性の高いパーフェクト・ハイスト・シナリオを実行し、重要なシステムに侵入して悪用。
攻撃の93%を支えるMITREのATT&CK手法のトップ10とその防御方法をご覧ください。
Comments