Plus d'1 million de dollars compromis : la campagne d'attaque sophistiquée de GreedyBear via le navigateur

failed_dev_successful_ape · 2025-12-26T20:33:11+00:00

Le groupe de hackers russe GreedyBear a réalisé un vol majeur de cryptomonnaie, dépassant $1 millions, en utilisant des extensions Firefox modifiées, des exécutables malveillants et du phishing. Leur stratégie consiste à exploiter les vulnérabilités des boutiques d'applications et à renforcer leur crédibilité avec de faux avis.

failed_dev_successful_ape

2025-12-26 20:33:11

Création du résumé en cours

Le groupe de hackers russe GreedyBear a réussi à orchestrer une opération massive de vol de cryptomonnaies au cours des cinq dernières semaines, avec des pertes dépassant 1 million de dollars, selon un rapport de sécurité récent de Koi Security. Les cybercriminels ont déployé un arsenal de 150 extensions Firefox modifiées, environ 500 exécutables malveillants pour Windows, et des dizaines de pages de phishing pour exécuter leur stratégie d’attaque.

Exploitation des extensions de navigateur : la principale source de revenus

La campagne d’extensions Firefox s’est avérée être la méthode la plus lucrative du groupe, générant la majorité des 1 million de dollars de fonds volés. La méthodologie d’attaque repose sur une technique de tromperie appelée Extension Hollowing, qui contourne les protocoles de sécurité des boutiques d’applications. Les hackers commencent par télécharger des versions apparemment légitimes de portefeuilles de cryptomonnaies populaires — notamment MetaMask, Exodus, Rabby Wallet et TronLink — sur des canaux de distribution. Une fois que les utilisateurs téléchargent ces extensions, des mises à jour ultérieures injectent du code malveillant dans les applications.

Pour renforcer leur crédibilité, le groupe gonfle artificiellement les évaluations des utilisateurs via de fausses critiques positives, créant une fausse impression de légitimité. Cette couche d’ingénierie sociale augmente considérablement le taux de téléchargement parmi les utilisateurs de cryptomonnaies peu méfiants. Une fois installées, les extensions compromises fonctionnent comme des outils de collecte de crédentiels, capturant silencieusement les clés privées des portefeuilles et les identifiants d’accès. Ces crédentiels volés sont ensuite utilisés comme arme pour vider les fonds en cryptomonnaies des portefeuilles des victimes.

Infrastructure d’attaque diversifiée

Au-delà des menaces basées sur le navigateur, GreedyBear opère un flux d’attaque parallèle utilisant près de 500 exécutables malveillants pour Windows. Ces fichiers sont stratégiquement distribués via des dépôts de logiciels russes hébergeant des applications piratées ou modifiées. Les exécutables ont plusieurs fonctions : certains agissent comme des outils de vol de crédentiels ciblant les informations de compte stockées, d’autres déploient des ransomwares pour crypter les données des victimes, et plusieurs fonctionnent comme des chevaux de Troie conçus pour établir un accès persistant au système.

Cette approche à plusieurs couches démontre une planification opérationnelle sophistiquée, permettant au groupe de maintenir plusieurs vecteurs d’infection et de s’adapter aux contre-mesures de sécurité employées par les utilisateurs et les plateformes.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.