Le réseau GreedyBear détourne 1M$ en cryptos grâce à des extensions piégées

Le monde crypto vient se heurter à une attaque d’une envergure inédite. Un groupe de cybercriminels baptisé GreedyBear a dérobé plus d’un million de dollars en cryptomonnaies. Pour y arriver, il a mis en place un système de fraude digne d’une industrie organisée.

À la croisée du piratage, du social engineering et de la tromperie technique, leur méthode repose sur un arsenal bien pensé. Ils se sont appuyés sur des extensions de navigateur piégées, des malwares spécialisés et des faux sites web crypto. Selon la société de cybersécurité Koi Security, nous assistons ici à un tournant majeur dans les méthodes de vol numérique.

Des extensions piégées à l’apparence légitime

Le coup de génie de GreedyBear commence par une manipulation des extensions de navigateur. Le groupe a réussi à publier plus de 150 extensions malveillantes qui imitent à la perfection des portefeuilles crypto comme MetaMask, TronLink ou Exodus.

Leur technique se nomme “Extension Hollowing”. Cela désigne une manipulation dans laquelle ils publient d’abord une extension parfaitement légitime qui passe les contrôles des plateformes. Une fois cela fait, ils modifient en douce cette dernière après validation pour y injecter du code malveillant.

Résultat : des milliers d’utilisateurs installent des extensions soi-disant fiables, notées et bien évaluées. Mais dans l’ombre, elles aspirent directement leurs identifiants et leur mot de passe. Le groupe tire profit de la confiance des utilisateurs envers les places de marché d’extensions. C’est une faille psychologique aussi dangereuse qu’efficace.

Tuval Admoni, un expert de Koi Security à dit à ce propos :

Cette approche permet à GreedyBear de contourner la sécurité du marché en apparaissant légitime lors du processus d’examen initial, puis en utilisant comme arme des extensions établies qui bénéficient déjà de la confiance des utilisateurs et de notes positives.

Des malwares sur-mesure et un réseau de faux sites web

Mais GreedyBear ne s’est pas contenté d’un seul vecteur d’attaque. En parallèle, ils ont diffusé près de 500 échantillons de malwares spécialement conçus pour viser les utilisateurs crypto. Parmi eux, on retrouve des voleurs de données comme “Lumma Stealer”. Ils exigent des paiements en crypto pour restituer l’accès aux fichiers.

Enfin, la troisième méthode concerne un réseau entier de faux sites web crypto. Là encore, les criminels ne se contentent pas d’une bête page de phishing. Ils ont construit des faux sites ultra-réalistes avec des interfaces professionnelles, des offres de wallet et des services de réparation de portefeuilles.

La campagne a été coordonnée par IA

Le plus étonnant, c’est qu’un seul serveur centralisé a pu piloter cette opération tentaculaire. Il a permis de collecter des identifiants, de coordonner les ransomwares et de gérer des faux sites. Oui, GreedyBear a utilisé l’IA pour automatiser et industrialiser ses attaques. Cela marque un tournant inquiétant pour la cybercriminalité crypto.

Toute la campagne est dirigée par une seule adresse IP.

Selon Koi Security, cet incident n’est pas isolé. Mais il décrit bel et bien le futur du cybercrime. C’est une alerte rouge pour l’écosystème qui doit maintenant redoubler de vigilance. Et cela rappelle une chose, le piège est souvent là où on ne l’attend pas. Un clic anodin sur une extension à 5 étoiles peut vous coûter un siphonnage de votre portefeuille.

Le chercheur de Koi Security a déclaré :

La plupart des groupes choisissent une voie : ils développent des extensions de navigateur, se concentrent sur les “rançongiciels” ou gèrent des sites de phishing frauduleux. GreedyBear a dit : « Pourquoi pas les trois ? » Et ça a très bien fonctionné.

Sur le même sujet :

• Le XRP flambe et vise les 4 $ alors que le procès Ripple VS SEC est enfin terminé
• FLOKI et ONDO poursuivent leur hausse, portés par leur cotation sur Robinhood et un regain d’optimisme
• XRP au bord du gouffre : une vente massive de baleines fait craindre un effondrement