GreedyBear : 40 fausses extensions de portefeuille cryptographiques découvertes sur Firefox Marketplace
Une campagne de cybercriminalité sophistiquée et de grande ampleur, baptisée GreedyBear, a été révélée, responsable du vol d'au moins un million de dollars auprès d'utilisateurs de cryptomonnaies. L'étude, menée par la société de cybersécurité Koi Security et partagée avec Hackread.com, révèle une opération hautement organisée qui va bien au-delà des escroqueries en ligne classiques.
Au lieu de se concentrer sur un seul type d'attaque, les criminels derrière GreedyBear utilisent un mélange coordonné d' extensions de navigateur malveillantes, de logiciels malveillants et de faux sites web. Cette stratégie leur permet d'attaquer sous plusieurs angles simultanément, rendant leur opération incroyablement efficace.
L'un des principaux moyens d'action de GreedyBear consiste à utiliser des extensions de navigateur malveillantes. Le groupe a créé plus de 150 fausses extensions pour la plateforme Firefox, se faisant passer pour des portefeuilles cryptographiques populaires comme MetaMask, TronLink, Exodus et Rabby Wallet.
Les attaquants utilisent une astuce astucieuse appelée « Extension Hollowing » pour contourner les contrôles de sécurité. Ils téléchargent d'abord des extensions inoffensives et, après avoir établi leur crédibilité grâce à de faux avis positifs, les vident de leur contenu en modifiant leurs noms et icônes et en injectant du code malveillant, tout en conservant l'historique des avis positifs.
La deuxième méthode implique près de 500 programmes malveillants, ou exécutables, trouvés sur des sites proposant des logiciels piratés. Parmi ces programmes malveillants figurent des voleurs d'identifiants , conçus pour voler vos informations de connexion, et des rançongiciels, qui verrouillent vos fichiers et exigent un paiement. La diversité de ces outils montre que le groupe ne se limite pas à un seul domaine, mais qu'il dispose d'un large éventail de méthodes pour cibler ses victimes.
Troisièmement, le groupe a créé des dizaines de faux sites web qui ressemblent à des services de cryptomonnaies ou à des outils de réparation de portefeuille légitimes. Ces sites sont conçus pour inciter les utilisateurs à saisir leurs informations personnelles et les détails de leur portefeuille.
Un détail clé révélé par les recherches de Koi Security est que toutes ces attaques, les fausses extensions, les logiciels malveillants et les sites web frauduleux, sont tous connectés à un serveur central unique ( 185.208.156.66 ). Ce hub central permet aux attaquants de gérer leurs opérations à grande échelle avec une grande efficacité.
Les chercheurs notent que cette campagne, qui a commencé comme un effort plus modeste connu sous le nom de Foxy Wallet, est maintenant devenue une menace multiplateforme majeure, avec des signes indiquant qu'elle pourrait bientôt s'étendre à d'autres navigateurs comme Chrome et Edge.
Les chercheurs ont également noté que ce type de criminalité automatisée à grande échelle est probablement rendu possible par les nouveaux outils d'IA, qui permettent aux criminels de lancer des attaques plus rapidement et plus facilement que jamais. Cette nouvelle réalité signifie que s'appuyer sur les anciennes méthodes de sécurité ne suffit plus pour assurer sa sécurité en ligne.
HackRead
