Le groupe d'escroquerie crypto GreedyBear vole plus d'1 million de dollars en utilisant de fausses extensions et des logiciels malveillants

Un groupe d'acteurs malveillants dans le domaine des cryptomonnaies surnommé "GreedyBear" a volé plus d'un million de dollars dans ce que les chercheurs décrivent comme une campagne à échelle industrielle comprenant des extensions de navigateur malveillantes, des logiciels malveillants et des sites web frauduleux.

GreedyBear a "redéfini le vol de crypto à échelle industrielle", selon le chercheur de Koi Security Tuval Admoni, qui a déclaré que l'approche du groupe combine plusieurs méthodes d'attaque éprouvées en une seule opération coordonnée.

Alors que la plupart des organisations cybercriminelles se spécialisent dans un seul vecteur, comme l'hameçonnage, les rançongiciels ou les fausses extensions, GreedyBear a poursuivi les trois simultanément à grande échelle.

Ces découvertes surviennent quelques jours après que la société de sécurité blockchain PeckShield a signalé une forte augmentation de la criminalité liée aux cryptomonnaies en juillet, avec des acteurs malveillants volant environ 142 millions de dollars lors de 17 incidents majeurs.

Extensions de navigateur malveillantes

L'enquête de Koi Security a révélé que la campagne actuelle de GreedyBear a déjà déployé plus de 650 outils malveillants ciblant les utilisateurs de portefeuilles de cryptomonnaies.

Admoni a noté que cela marque une escalade par rapport à la précédente campagne "Foxy Wallet" du groupe, qui avait exposé en juillet 40 extensions Firefox malveillantes. 

Le groupe utilise une technique que Koi appelle "Extension Hollowing" pour contourner les vérifications des places de marché et gagner la confiance des utilisateurs.  

Les opérateurs publient d'abord des extensions Firefox d'apparence inoffensive — comme des assainisseurs de liens ou des téléchargeurs de vidéos — sous de nouveaux comptes d'éditeur. Celles-ci sont ensuite garnies de faux avis positifs avant d'être converties en outils imitant des portefeuilles et ciblant MetaMask, TronLink, Exodus et Rabby Wallet. 

Une fois armées, les extensions récoltent les identifiants directement depuis les champs de saisie des utilisateurs et les transmettent au serveur de commande et de contrôle de GreedyBear.

Logiciels malveillants pour cryptomonnaies

Au-delà des extensions, les chercheurs ont trouvé près de 500 exécutables Windows malveillants liés à la même infrastructure. 

Ces fichiers couvrent plusieurs familles de logiciels malveillants, notamment des voleurs d'identifiants comme LummaStealer, des variantes de rançongiciels ressemblant à Luca Stealer, et des trojans génériques agissant probablement comme chargeurs pour d'autres charges utiles.

Koi Security a noté que beaucoup de ces échantillons apparaissent dans des pipelines de distribution de logiciels malveillants hébergés sur des sites web en langue russe qui proposent des logiciels crackés, piratés ou "reconditionnés". Cette méthode de distribution élargit non seulement la portée du groupe vers des utilisateurs moins soucieux de la sécurité, mais leur permet également de propager des infections au-delà du public natif des cryptomonnaies.

Les chercheurs ont également trouvé des échantillons de logiciels malveillants démontrant des capacités modulaires, suggérant que les opérateurs peuvent mettre à jour les charges utiles ou échanger des fonctions sans déployer de nouveaux logiciels malveillants.

Services crypto frauduleux

Parallèlement à ces opérations de logiciels malveillants, GreedyBear maintient un réseau de sites web frauduleux qui imitent des produits et services de cryptomonnaies. Ces sites web sont conçus pour recueillir des informations sensibles auprès d'utilisateurs sans méfiance.

Koi Security a découvert de fausses pages d'atterrissage faisant la publicité de portefeuilles matériels, et de faux services de réparation de portefeuilles prétendant réparer des appareils populaires comme Trezor. D'autres pages faisaient la promotion de faux portefeuilles numériques ou d'utilitaires crypto, tous avec un design de qualité professionnelle.

Contrairement aux sites d'hameçonnage traditionnels qui imitent les pages de connexion des plateformes d'échange, ces arnaques se présentent comme des vitrines de produits ou des services d'assistance. Les visiteurs sont incités à saisir des phrases de récupération de portefeuille, des clés privées, des informations de paiement ou d'autres données sensibles, que les attaquants exfiltrent ensuite pour des vols ultérieurs ou des fraudes à la carte bancaire.

L'enquête de Koi a révélé que certains de ces domaines étaient encore actifs et collectaient des données, tandis que d'autres semblaient dormants mais prêts à être activés lors de futures campagnes.

Un nœud central

De plus, Koi a découvert que presque tous les domaines liés aux extensions, logiciels malveillants et sites web frauduleux de GreedyBear pointent vers une seule adresse IP — 185.208.156.66.

Ce serveur fonctionne comme le centre de commande et de contrôle de l'opération, gérant la collecte d'identifiants, la coordination des rançongiciels et l'hébergement de sites web frauduleux. En consolidant les opérations sur une seule infrastructure, le groupe est capable de suivre les victimes, d'ajuster les charges utiles et de distribuer les données volées avec plus de rapidité et d'efficacité.

Selon Admoni, il y avait également des signes d'"artefacts générés par l'IA" trouvés dans le code de la campagne, ce qui rend "plus rapide et plus facile que jamais pour les attaquants d'étendre leurs opérations, de diversifier leurs charges utiles et d'éviter la détection."

"Ce n'est pas une tendance passagère — c'est la nouvelle normalité. Alors que les attaquants s'arment d'une IA de plus en plus performante, les défenseurs doivent répondre avec des outils de sécurité et de renseignement tout aussi avancés," a déclaré Admoni.