L'escroquerie GreedyBear, propagée via des extensions Firefox, a dérobé 1 million de dollars en cryptomonnaies : Koi Security

Le groupe frauduleux GreedyBear a dérobé plus d'un million de dollars en cryptomonnaie grâce à une campagne d'attaques coordonnées.

Koi Security a signalé que le groupe avait lancé 150 extensions Firefox piégées, ainsi que 500 fichiers exécutables malveillants. L'opération utilisait de fausses extensions de portefeuille, des sites web d'hameçonnage et des logiciels malveillants pour cibler de cryptomonnaies sur plusieurs plateformes.

Une extension frauduleuse pour Firefox cible les portefeuilles de cryptomonnaies populaires

L'escroquerie GreedyBear a déployé plus de 150 extensions malveillantes sur le Firefox Store, ciblant les utilisateurs de cryptomonnaies. Ces extensions imitent des portefeuilles populaires comme MetaMask, Trondentdentdentdentdentdentdentdentlors de leurs tentatives de connexion.

Les pirates informatiques commencent par créer des extensions d'apparence légitime, comme des outils de nettoyage de liens et de téléchargement de vidéos YouTube, mais aux fonctionnalités limitées. Avec une gamme de 5 à 7 utilitaires génériques et des noms d'éditeurs récents, ils parviennent généralement à asseoir leur crédibilité sur le long terme.

Une fois la confiance établie grâce à de véritables avis positifs, les criminels vident complètement ces extensions. Ils modifient les noms et les icônes, injectent du code malveillant, mais conservent l'historique des avis positifs d'origine. Cette méthode permet aux extensions malveillantes de paraître fiables aux yeux des nouveaux utilisateurs qui consultent la plateforme.

Ces extensions servent à récupérer lesdentde portefeuille électronique via les champs de saisie de leurs fenêtres contextuelles. Les informations volées sont ensuite transmises à des serveurs distants contrôlés par le groupe criminel pour être exploitées ultérieurement. Au démarrage, les extensions transmettent également l'adresse IP de la victime à des fins de trac.

Cette action fait suite à une précédente opération contre Foxy Wallet ayant permis d'dent40 extensions malveillantes. L'ampleur du problème a plus que doublé depuis l'incident initial. Des témoignages d'utilisateurs confirment que les victimes ont perdu d'importantes sommes en cryptomonnaies en utilisant ces extensions de portefeuille frauduleuses à différentes périodes.

Attaque multiplateforme combinant logiciels malveillants et sites web frauduleux

GreedyBear L'escroquerie exploite près de 500 fichiers exécutables malveillants pour Windows, parallèlement à sa campagne d'extensions de navigateur. Ces programmes se propagent via des sites web russes qui distribuent des logiciels piratés à des utilisateurs non avertis. La collection de logiciels malveillants couvre de multiples catégories de menaces afin de maximiser leur potentiel de dégâts.

Les voleurs dedentcomme LummaStealer ciblent les informations des portefeuilles de cryptomonnaies stockées sur les ordinateurs des victimes. Les variantes de rançongiciels chiffrent les fichiers des utilisateurs et exigent une rançon en cryptomonnaie pour obtenir les clés de déchiffrement. Les chevaux de Troie génériques offrent un accès détourné permettant l'exécution de charges utiles supplémentaires en cas de besoin.

Le groupe gère également une infrastructure de sites web frauduleux se faisant passer pour des services de cryptomonnaies afin de voler des données. Ces sites frauduleux imitent à la perfection les services de cryptomonnaies légitimes et ne sont pas des pages d'hameçonnage classiques. Les portefeuilles matériels de marque Jupiter présentent également des interfaces falsifiées, conçues pour inciter les acheteurs potentiels à divulguer leurs informations de paiement.

Un autre exemple cité dans le rapport concerne les sites web de réparation de portefeuilles électroniques qui prétendent réparer les produits Trezor endommagés pour les clients mécontents. Ces sites frauduleux récupèrent les mots de passe de récupération et les clés privées des portefeuilles en se faisant passer pour un service d'assistance technique. Certains domaines sont actifs, tandis que d'autres sont inactifs, en attente d'attaques ciblées.

La variété des méthodes d'attaque démontre que l'escroquerie GreedyBear exploite un vaste réseau de distribution plutôt que de se concentrer sur une seule technique. Cette approche diversifiée permet au groupe d'adapter ses tactiques en fonction de leur efficacité. La réutilisation de l'infrastructure par différentes familles de logiciels malveillants confirme la coordination centralisée de tous les éléments de la campagne.

Un serveur centralisé contrôle les opérations de vol à l'échelle mondiale

GreedyBear gère l'ensemble de ses activités criminelles depuis une seule adresse IP : 185.208.156.66. Presque tous les domaines utilisés, quelles que soient leurs extensions, leurs charges utiles malveillantes et leurs tentatives d'hameçonnage, se connectent à ce serveur central. Ce dernier assure la communication et le contrôle, la collecte d'dent, la coordination des attaques par rançongiciel et l'hébergement des sites web frauduleux.

L'infrastructure centralisée permet aux attaquants de rationaliser leurs opérations sur de multiples canaux d'attaque. Les données provenant des extensions de navigateur, des infections par logiciels malveillants et des sites web victimes convergent vers un point de collecte unique. Cette approche simplifie la gestion tout en fournissant des renseignements complets sur les cibles visées.

Koi Security a découvert que le groupe a déjà commencé à étendre ses activités au-delà des navigateurs Firefox. Une extension Chrome malveillante appelée Filecoin Wallet utilisait des méthodes de vol dedentdentil y a plusieurs mois. Cette extension communiquait avec des domaines hébergés sur la même infrastructure serveur (185.208.156.66).

Ce lien confirme que GreedyBear teste ses opérations sur différents écosystèmes de navigateurs. Chrome, Edge et d'autres navigateurs seront probablement confrontés à des campagnes d'extensions similaires dans les mois à venir. La volonté du groupe d'expérimenter sur différentes plateformes témoigne de son engagement à étendre ses activités.

L'analyse du code révèle que les outils d'IA ont contribué à accélérer la croissance et la complexification de la campagne. Les artefacts générés par le logiciel malveillant suggèrent que l'intelligence artificielle intervient dans la création et la mise à l'échelle de la charge utile. Cette technologie permet des cycles de développement plus rapides et une meilleure capacité à contourner les systèmes de détection de sécurité sur différentes plateformes.