PANews는 8월 11일 Decrypt에 따르면 미국과 이스라엘에 본사를 둔 Koi Security가 러시아 해커 그룹 GreedyBear가 지난 5주 동안 150개의 "무기화된 Firefox 확장 프로그램", 500개에 가까운 악성 실행 파일, 수십 개의 피싱 웹사이트를 사용해 100만 달러 상당의 암호화폐를 훔쳤다고 보고했다고 보도했습니다.

Koi CTO 이단 다르딕만은 파이어폭스 공격이 "단연" 가장 수익성이 높은 공격 벡터였으며, 100만 달러 매출의 대부분을 차지했다고 밝혔습니다. 이 전략은 메타마스크, 엑소더스, 래비 월렛, 트론링크 등 널리 다운로드되는 암호화폐 지갑의 가짜 버전을 만드는 것이었습니다. 해커들은 익스텐션 할로잉(Extension Hollowing) 기법을 사용하여 마켓플레이스 보안 조치를 우회했습니다. 먼저 해당 익스텐션의 안전한 버전을 업로드한 후 악성 코드로 애플리케이션을 업데이트했습니다.

이 그룹은 또한 확장 프로그램에 대한 가짜 리뷰를 게시하여 신뢰와 안정성에 대한 잘못된 인상을 심어줍니다. 악성 확장 프로그램이 다운로드되면 지갑 계정 정보를 훔쳐 암호화폐를 훔치는 데 사용됩니다. 이 그룹의 또 다른 주요 공격 경로는 불법 복제 또는 재패키징된 소프트웨어를 배포하는 러시아 웹사이트에 추가되는 약 500개의 악성 윈도우 실행 파일을 배포하는 것입니다. 이러한 실행 파일에는 계정 정보 도용 프로그램, 랜섬웨어, 트로이 목마 등이 포함됩니다.