Contenu éditorial de confiance, examiné par des experts de l'industrie et des rédacteurs chevronnés. Divulgation des annonces
Un groupe de cybercriminalité appelé "GreedyBear" a été accusé d'avoir volé plus de 1 million de dollars dans ce que les chercheurs qualifient de l'une des opérations de vol de crypto-monnaie les plus étendues observées depuis des mois.
Lecture connexe : Les jumeaux Winklevoss injectent du Bitcoin dans une entreprise minière liée à Trump. Des rapports de Koi Security révèlent que le groupe mène une campagne coordonnée qui mélange des extensions de navigateur malveillantes, des logiciels malveillants et des sites Web d'escroquerie — le tout sous un même réseau.
Extensions Transformées En Outils De Vol De Portefeuille
Au lieu de se concentrer sur une seule méthode, GreedyBear en a combiné plusieurs. Selon le chercheur de Koi Security, Tuval Admoni, le groupe a déployé plus de 650 outils malveillants dans sa dernière offensive.
Cela marque une forte augmentation par rapport à son opération précédente "Foxy Wallet" en juillet, qui impliquait 40 extensions Firefox.
La tactique du groupe, appelée « Extension Hollowing », commence par la publication d'extensions Firefox ayant l'apparence de programmes légitimes, comme des téléchargeurs de vidéos ou des nettoyeurs de liens.
Ces extensions, publiées sous de nouveaux comptes d'éditeur, collectent de faux avis positifs pour sembler fiables. Plus tard, elles sont échangées contre des versions malveillantes se faisant passer pour des portefeuilles comme MetaMask, TronLink, Exodus et Rabby Wallet.
Une fois installés, ils récupèrent les identifiants des champs de saisie et les envoient aux serveurs de contrôle de GreedyBear.
Logiciel malveillant caché dans des logiciels piratés
Les enquêteurs ont également lié près de 500 fichiers Windows malveillants au même groupe. Beaucoup d'entre eux appartiennent à des familles de logiciels malveillants bien connus, comme LummaStealer, un ransomware similaire à Luca Stealer, et des chevaux de Troie agissant comme des chargeurs pour d'autres programmes nuisibles.
La distribution se produit fréquemment via des sites web en langue russe qui hébergent des logiciels piratés ou « repackagés ». Ciblant ceux qui recherchent des logiciels gratuits, les attaquants vont bien au-delà de la communauté crypto.
Des logiciels malveillants modulaires ont également été découverts par Koi Security, dans lesquels les opérateurs peuvent ajouter ou échanger des fonctions sans déployer complètement de nouveaux fichiers.
La capitalisation boursière totale des cryptomonnaies est actuellement de 3,9 trillions de dollars. Graphique : TradingView### Services de crypto-monnaie frauduleux créés pour voler des données
Selon les rapports, en plus des attaques de navigateur et des logiciels malveillants, GreedyBear a établi des sites Web frauduleux qui se font passer pour de véritables solutions de cryptomonnaie.
Certains d'entre eux seraient censés offrir des portefeuilles matériels, et d'autres sont de faux services de réparation de portefeuilles pour des appareils tels que Trezor.
Lecture connexe : L'ordre exécutif de Trump pourrait être le prochain grand catalyseur du Bitcoin : PDG. Il existe également des applications de portefeuille frauduleuses avec des designs attrayants qui trompent les utilisateurs en leur faisant saisir des phrases de récupération, des clés privées et des informations de paiement.
Contrairement aux sites de phishing standard qui copient les pages de connexion des échanges, ces pages d'escroquerie ressemblent davantage à des portails de produits ou de support.
Les rapports ont ajouté que certains d'entre eux restent actifs et continuent de collecter des données sensibles, tandis que d'autres sont en attente pour une utilisation future.
Les enquêteurs ont découvert que presque tous les domaines liés à ces opérations renvoient à une seule adresse IP — 185.208.156.66. Ce serveur agit comme le centre de la campagne, gérant les identifiants volés, coordonnant l'activité de ransomware et hébergeant des sites d'escroquerie.
Image en vedette provenant d'Unsplash, graphique de TradingView
Le processus éditorial de bitcoinist est centré sur la livraison de contenu soigneusement recherché, précis et impartial. Nous maintenons des normes de sourcing strictes, et chaque page fait l'objet d'une révision minutieuse par notre équipe de grands experts en technologie et d'éditeurs chevronnés. Ce processus garantit l'intégrité, la pertinence et la valeur de notre contenu pour nos lecteurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Des voleurs de Crypto surnommés 'GreedyBear' mènent une arnaque à grande échelle - Détails
Lecture connexe : Les jumeaux Winklevoss injectent du Bitcoin dans une entreprise minière liée à Trump. Des rapports de Koi Security révèlent que le groupe mène une campagne coordonnée qui mélange des extensions de navigateur malveillantes, des logiciels malveillants et des sites Web d'escroquerie — le tout sous un même réseau.
Extensions Transformées En Outils De Vol De Portefeuille
Au lieu de se concentrer sur une seule méthode, GreedyBear en a combiné plusieurs. Selon le chercheur de Koi Security, Tuval Admoni, le groupe a déployé plus de 650 outils malveillants dans sa dernière offensive.
Cela marque une forte augmentation par rapport à son opération précédente "Foxy Wallet" en juillet, qui impliquait 40 extensions Firefox.
La tactique du groupe, appelée « Extension Hollowing », commence par la publication d'extensions Firefox ayant l'apparence de programmes légitimes, comme des téléchargeurs de vidéos ou des nettoyeurs de liens.
Ces extensions, publiées sous de nouveaux comptes d'éditeur, collectent de faux avis positifs pour sembler fiables. Plus tard, elles sont échangées contre des versions malveillantes se faisant passer pour des portefeuilles comme MetaMask, TronLink, Exodus et Rabby Wallet.
Une fois installés, ils récupèrent les identifiants des champs de saisie et les envoient aux serveurs de contrôle de GreedyBear.
Logiciel malveillant caché dans des logiciels piratés
Les enquêteurs ont également lié près de 500 fichiers Windows malveillants au même groupe. Beaucoup d'entre eux appartiennent à des familles de logiciels malveillants bien connus, comme LummaStealer, un ransomware similaire à Luca Stealer, et des chevaux de Troie agissant comme des chargeurs pour d'autres programmes nuisibles.
La distribution se produit fréquemment via des sites web en langue russe qui hébergent des logiciels piratés ou « repackagés ». Ciblant ceux qui recherchent des logiciels gratuits, les attaquants vont bien au-delà de la communauté crypto.
Des logiciels malveillants modulaires ont également été découverts par Koi Security, dans lesquels les opérateurs peuvent ajouter ou échanger des fonctions sans déployer complètement de nouveaux fichiers.
Selon les rapports, en plus des attaques de navigateur et des logiciels malveillants, GreedyBear a établi des sites Web frauduleux qui se font passer pour de véritables solutions de cryptomonnaie.
Certains d'entre eux seraient censés offrir des portefeuilles matériels, et d'autres sont de faux services de réparation de portefeuilles pour des appareils tels que Trezor.
Lecture connexe : L'ordre exécutif de Trump pourrait être le prochain grand catalyseur du Bitcoin : PDG. Il existe également des applications de portefeuille frauduleuses avec des designs attrayants qui trompent les utilisateurs en leur faisant saisir des phrases de récupération, des clés privées et des informations de paiement.
Contrairement aux sites de phishing standard qui copient les pages de connexion des échanges, ces pages d'escroquerie ressemblent davantage à des portails de produits ou de support.
Les rapports ont ajouté que certains d'entre eux restent actifs et continuent de collecter des données sensibles, tandis que d'autres sont en attente pour une utilisation future.
Les enquêteurs ont découvert que presque tous les domaines liés à ces opérations renvoient à une seule adresse IP — 185.208.156.66. Ce serveur agit comme le centre de la campagne, gérant les identifiants volés, coordonnant l'activité de ransomware et hébergeant des sites d'escroquerie.
Image en vedette provenant d'Unsplash, graphique de TradingView