Les Opérations de GreedyBear
Le groupe de hackers russes GreedyBear a intensifié ses opérations ces derniers mois, utilisant 150 extensions Firefox malveillantes pour cibler des victimes internationales, notamment anglophones, selon des recherches menées par Koi Security. Dans un article de blog, Koi, basé aux États-Unis et en Israël, a rapporté que ce groupe a « redéfini le vol de cryptomonnaies à l’échelle industrielle », en utilisant près de 500 exécutables malveillants et « des dizaines » de sites de phishing pour dérober plus d’un million de dollars au cours des cinq dernières semaines.
Stratégies et Techniques
S’exprimant auprès de Decrypt, le CTO de Koi, Idan Dardikman, a déclaré que la campagne Firefox est « de loin » le vecteur d’attaque le plus lucratif, ayant « gagné la majeure partie des 1 million de dollars rapportés par elle-même. » Ce stratagème consiste à créer de fausses versions de portefeuilles de cryptomonnaies largement téléchargés, tels que MetaMask, Exodus, Rabby Wallet et TronLink.
Les opérateurs de GreedyBear utilisent une technique appelée « Extension Hollowing » pour contourner les mesures de sécurité du marché, en téléchargeant initialement des versions non malveillantes des extensions, avant de les mettre à jour avec du code malveillant. Ils publient également de faux avis sur ces extensions, créant ainsi une fausse impression de confiance et de fiabilité.
Une fois téléchargées, les extensions malveillantes volent les identifiants de portefeuille, qui sont ensuite utilisés pour dérober des cryptomonnaies. Non seulement GreedyBear a réussi à voler plus d’un million de dollars en un peu plus d’un mois grâce à cette méthode, mais ils ont également considérablement élargi l’échelle de leurs opérations, une campagne précédente – active entre avril et juillet de cette année – n’impliquant que 40 extensions.
Exécutables Malveillants et Phishing
La principale méthode d’attaque du groupe inclut également près de 500 exécutables Windows malveillants, qu’ils ont ajoutés à des sites web russes distribuant des logiciels piratés ou reconditionnés. Ces exécutables comprennent des voleurs d’identifiants, des logiciels de rançon et des chevaux de Troie, ce qui, selon Koi Security, indique « un large pipeline de distribution de logiciels malveillants, capable de changer de tactique selon les besoins. »
Le groupe a également créé des dizaines de sites de phishing, prétendant offrir des services légitimes liés à la cryptomonnaie, tels que des portefeuilles numériques, des dispositifs matériels ou des services de réparation de portefeuilles. GreedyBear utilise ces sites pour inciter les victimes potentielles à entrer des données personnelles et des identifiants de portefeuille, qu’ils exploitent ensuite pour voler des fonds.
« Il convient de mentionner que la campagne Firefox ciblait des victimes plus globales et anglophones, tandis que les exécutables malveillants ciblaient davantage des victimes russophones, » explique Idan Dardikman, s’exprimant auprès de Decrypt.
Coordination et Conseils de Sécurité
Malgré la diversité des méthodes d’attaque et des cibles, Koi rapporte également que « presque tous » les domaines d’attaque de GreedyBear renvoient à une seule adresse IP : 185.208.156.66. Selon le rapport, cette adresse fonctionne comme un hub central pour la coordination et la collecte, permettant aux hackers de GreedyBear « d’optimiser leurs opérations. »
Dardikman a déclaré qu’une seule adresse IP « signifie un contrôle centralisé étroit » plutôt qu’un réseau distribué. « Cela suggère un cybercrime organisé plutôt qu’un parrainage étatique – les opérations gouvernementales utilisent généralement une infrastructure distribuée pour éviter les points de défaillance uniques, » a-t-il ajouté.
Dardikman a également indiqué que GreedyBear est susceptible de poursuivre ses opérations et a offert plusieurs conseils pour éviter leur portée croissante. « Installez uniquement des extensions de développeurs vérifiés avec un historique solide, » a-t-il conseillé, ajoutant que les utilisateurs devraient toujours éviter les sites de logiciels piratés. Il a également recommandé d’utiliser uniquement des logiciels de portefeuille officiels, et non des extensions de navigateur, bien qu’il ait conseillé de s’éloigner des portefeuilles logiciels si vous êtes un investisseur sérieux à long terme.
« Utilisez des portefeuilles matériels pour des avoirs en cryptomonnaies significatifs, mais achetez uniquement sur les sites web des fabricants officiels – GreedyBear crée de faux sites de portefeuilles matériels pour voler des informations de paiement et des identifiants. »
