Le groupe de hackers russes GreedyBear a récemment volé plus d'1 million de dollars en cryptomonnaie en falsifiant des portefeuilles MetaMask

PANews a rapporté le 11 août que selon Décryptage, Koi Security, basée aux États-Unis et en Israël, a signalé que le groupe de pirates informatiques russe GreedyBear a utilisé 150 "extensions Firefox armées", près de 500 fichiers exécutables malveillants et "des dizaines" de sites d'hameçonnage pour voler plus d'un million de dollars en cryptomonnaie au cours des cinq dernières semaines.

Le Directeur de la technologie (CTO) de Koi, Idan Dardikman, a déclaré que les attaques Firefox étaient "de loin" leur vecteur d'attaque le plus rentable, représentant la majorité du million de dollars de revenus. Cette tactique particulière impliquait la création de fausses versions de Portefeuilles crypto largement téléchargés comme MetaMask, Exodus, Rabby Wallet et TronLink. Les pirates ont utilisé la technique d'Extension Hollowing pour contourner les mesures de sécurité du marché en téléchargeant initialement une version bénigne de l'extension, puis en mettant à jour l'application avec un code malveillant.

Le groupe publie également de fausses critiques d'extensions pour créer une fausse impression de confiance et de fiabilité. Une fois téléchargées, les extensions malveillantes volent les identifiants du portefeuille, qui sont ensuite utilisés pour voler des cryptomonnaies. Un autre vecteur d'attaque principal pour le groupe implique la distribution de près de 500 exécutables Windows malveillants, qui sont ajoutés à des sites web russes qui distribuent des logiciels piratés ou reconditionnés. Ces exécutables comprennent des voleurs d'identifiants, des rançongiciels et des chevaux de Troie.