PANewsは8月11日、Decryptによると、米国とイスラエルに拠点を置くKoi Securityが、ロシアのハッカー集団GreedyBearが過去5週間で150個の「武器化されたFirefox拡張機能」、約500個の悪意のある実行ファイル、および「数十」のフィッシングウェブサイトを使用して100万ドル以上の仮想通貨を盗んだと報告したと報じた。

KoiのCTO、イダン・ダーディクマン氏は、Firefoxへの攻撃が「圧倒的に」最も収益性の高い攻撃手法であり、100万ドルの収益の大部分を占めていると述べています。この攻撃手法は、MetaMask、Exodus、Rabby Wallet、TronLinkといった広くダウンロードされている暗号資産ウォレットの偽バージョンを作成することでした。ハッカーたちは、拡張機能のホローイング（偽造）という手法を用いて、まず拡張機能の無害なバージョンをアップロードし、その後悪意のあるコードでアプリケーションを更新することで、マーケットプレイスのセキュリティ対策を回避しました。

このグループはまた、偽の拡張機能レビューを投稿し、信頼性や信頼性の印象を偽造しています。ダウンロードされると、悪意のある拡張機能はウォレットの認証情報を盗み出し、それを使って暗号通貨を盗みます。このグループのもう一つの主要な攻撃ベクトルは、約500個の悪意のあるWindows実行ファイルを配布することです。これらのファイルは、海賊版や再パッケージ化されたソフトウェアを配布するロシアのWebサイトに追加されます。これらの実行ファイルには、認証情報窃取型マルウェア、ランサムウェア、トロイの木馬などが含まれます。