Le groupe de hackers russes GreedyBear<\/strong> a intensifi\u00e9 ses op\u00e9rations ces derniers mois, utilisant 150 extensions Firefox malveillantes<\/strong> pour cibler des victimes internationales, notamment anglophones, selon des recherches men\u00e9es par Koi Security<\/em>. Dans un article de blog, Koi, bas\u00e9 aux \u00c9tats-Unis et en Isra\u00ebl, a rapport\u00e9 que ce groupe a \u00ab\u00a0red\u00e9fini le vol de cryptomonnaies \u00e0 l’\u00e9chelle industrielle\u00a0\u00bb<\/strong>, en utilisant pr\u00e8s de 500 ex\u00e9cutables malveillants et \u00ab\u00a0des dizaines\u00a0\u00bb<\/strong> de sites de phishing pour d\u00e9rober plus d’un million de dollars au cours des cinq derni\u00e8res semaines.<\/p>\n S’exprimant aupr\u00e8s de Decrypt, le CTO de Koi, Idan Dardikman<\/strong>, a d\u00e9clar\u00e9 que la campagne Firefox est \u00ab\u00a0de loin\u00a0\u00bb<\/strong> le vecteur d’attaque le plus lucratif, ayant \u00ab\u00a0gagn\u00e9 la majeure partie des 1 million de dollars rapport\u00e9s par elle-m\u00eame.\u00a0\u00bb<\/strong> Ce stratag\u00e8me consiste \u00e0 cr\u00e9er de fausses versions de portefeuilles de cryptomonnaies largement t\u00e9l\u00e9charg\u00e9s, tels que MetaMask<\/em>, Exodus<\/em>, Rabby Wallet<\/em> et TronLink<\/em>.<\/p>\n Les op\u00e9rateurs de GreedyBear utilisent une technique appel\u00e9e \u00ab\u00a0Extension Hollowing\u00a0\u00bb<\/strong> pour contourner les mesures de s\u00e9curit\u00e9 du march\u00e9, en t\u00e9l\u00e9chargeant initialement des versions non malveillantes des extensions, avant de les mettre \u00e0 jour avec du code malveillant. Ils publient \u00e9galement de faux avis sur ces extensions, cr\u00e9ant ainsi une fausse impression de confiance et de fiabilit\u00e9.<\/p>\n Une fois t\u00e9l\u00e9charg\u00e9es, les extensions malveillantes volent les identifiants de portefeuille, qui sont ensuite utilis\u00e9s pour d\u00e9rober des cryptomonnaies. Non seulement GreedyBear a r\u00e9ussi \u00e0 voler plus d’un million de dollars en un peu plus d’un mois gr\u00e2ce \u00e0 cette m\u00e9thode, mais ils ont \u00e9galement consid\u00e9rablement \u00e9largi l’\u00e9chelle de leurs op\u00e9rations, une campagne pr\u00e9c\u00e9dente \u2013 active entre avril et juillet de cette ann\u00e9e \u2013 n’impliquant que 40 extensions<\/strong>.<\/p>\n La principale m\u00e9thode d’attaque du groupe inclut \u00e9galement pr\u00e8s de 500 ex\u00e9cutables Windows malveillants<\/strong>, qu’ils ont ajout\u00e9s \u00e0 des sites web russes distribuant des logiciels pirat\u00e9s ou reconditionn\u00e9s. Ces ex\u00e9cutables comprennent des voleurs d’identifiants, des logiciels de ran\u00e7on et des chevaux de Troie, ce qui, selon Koi Security, indique \u00ab\u00a0un large pipeline de distribution de logiciels malveillants, capable de changer de tactique selon les besoins.\u00a0\u00bb<\/strong><\/p>\n Le groupe a \u00e9galement cr\u00e9\u00e9 des dizaines de sites de phishing, pr\u00e9tendant offrir des services l\u00e9gitimes li\u00e9s \u00e0 la cryptomonnaie, tels que des portefeuilles num\u00e9riques, des dispositifs mat\u00e9riels ou des services de r\u00e9paration de portefeuilles. GreedyBear utilise ces sites pour inciter les victimes potentielles \u00e0 entrer des donn\u00e9es personnelles et des identifiants de portefeuille, qu’ils exploitent ensuite pour voler des fonds.<\/p>\n \u00ab\u00a0Il convient de mentionner que la campagne Firefox ciblait des victimes plus globales et anglophones, tandis que les ex\u00e9cutables malveillants ciblaient davantage des victimes russophones,\u00a0\u00bb explique Idan Dardikman, s’exprimant aupr\u00e8s de Decrypt.<\/p>\n<\/blockquote>\n Malgr\u00e9 la diversit\u00e9 des m\u00e9thodes d’attaque et des cibles, Koi rapporte \u00e9galement que \u00ab\u00a0presque tous\u00a0\u00bb<\/strong> les domaines d’attaque de GreedyBear renvoient \u00e0 une seule adresse IP : 185.208.156.66<\/strong>. Selon le rapport, cette adresse fonctionne comme un hub central pour la coordination et la collecte, permettant aux hackers de GreedyBear \u00ab\u00a0d’optimiser leurs op\u00e9rations.\u00a0\u00bb<\/strong><\/p>\n Dardikman a d\u00e9clar\u00e9 qu’une seule adresse IP \u00ab\u00a0signifie un contr\u00f4le centralis\u00e9 \u00e9troit\u00a0\u00bb<\/strong> plut\u00f4t qu’un r\u00e9seau distribu\u00e9. \u00ab\u00a0Cela sugg\u00e8re un cybercrime organis\u00e9 plut\u00f4t qu’un parrainage \u00e9tatique \u2013 les op\u00e9rations gouvernementales utilisent g\u00e9n\u00e9ralement une infrastructure distribu\u00e9e pour \u00e9viter les points de d\u00e9faillance uniques,\u00a0\u00bb<\/strong> a-t-il ajout\u00e9.<\/p>\n Dardikman a \u00e9galement indiqu\u00e9 que GreedyBear est susceptible de poursuivre ses op\u00e9rations et a offert plusieurs conseils pour \u00e9viter leur port\u00e9e croissante. \u00ab\u00a0Installez uniquement des extensions de d\u00e9veloppeurs v\u00e9rifi\u00e9s avec un historique solide,\u00a0\u00bb<\/strong> a-t-il conseill\u00e9, ajoutant que les utilisateurs devraient toujours \u00e9viter les sites de logiciels pirat\u00e9s. Il a \u00e9galement recommand\u00e9 d’utiliser uniquement des logiciels de portefeuille officiels, et non des extensions de navigateur, bien qu’il ait conseill\u00e9 de s’\u00e9loigner des portefeuilles logiciels si vous \u00eates un investisseur s\u00e9rieux \u00e0 long terme.<\/p>\n \u00ab\u00a0Utilisez des portefeuilles mat\u00e9riels pour des avoirs en cryptomonnaies significatifs, mais achetez uniquement sur les sites web des fabricants officiels \u2013 GreedyBear cr\u00e9e de faux sites de portefeuilles mat\u00e9riels pour voler des informations de paiement et des identifiants.\u00a0\u00bb<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":" Les Op\u00e9rations de GreedyBear Le groupe de hackers russes GreedyBear a intensifi\u00e9 ses op\u00e9rations ces derniers mois, utilisant 150 extensions Firefox malveillantes pour cibler des victimes internationales, notamment anglophones, selon des recherches men\u00e9es par Koi Security. Dans un article de blog, Koi, bas\u00e9 aux \u00c9tats-Unis et en Isra\u00ebl, a rapport\u00e9 que ce groupe a \u00ab\u00a0red\u00e9fini le vol de cryptomonnaies \u00e0 l’\u00e9chelle industrielle\u00a0\u00bb, en utilisant pr\u00e8s de 500 ex\u00e9cutables malveillants et \u00ab\u00a0des dizaines\u00a0\u00bb de sites de phishing pour d\u00e9rober plus d’un million de dollars au cours des cinq derni\u00e8res semaines. Strat\u00e9gies et Techniques S’exprimant aupr\u00e8s de Decrypt, le CTO de Koi,<\/p>\n","protected":false},"author":3,"featured_media":7836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[200,65,272,74,8044,482],"class_list":["post-7837","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-exodus","tag-hack","tag-metamask","tag-russia","tag-tronlink","tag-windows"],"yoast_description":"Un groupe de hackers russes, GreedyBear, utilise de fausses versions de MetaMask pour voler plus d'un million de dollars en cryptomonnaies gr\u00e2ce \u00e0 des extensions Firefox malveillantes et des sites de phishing.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/7837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=7837"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/7837\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/7836"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=7837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=7837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=7837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Strat\u00e9gies et Techniques<\/h2>\n
Ex\u00e9cutables Malveillants et Phishing<\/h2>\n
\n
Coordination et Conseils de S\u00e9curit\u00e9<\/h2>\n
\n