Des cybercriminels volent plus de $1 million en crypto via une attaque triple

Une cyberattaque sophistiquée, menée par un groupe que la société de sécurité Koi Security appelle « Greedybear », a dérobé plus d’un million de dollars en cryptomonnaies. Les criminels ont combiné trois méthodes d’attaque : des extensions de navigateur malveillantes, des malwares et de faux sites web.

Le chercheur Tuval Admoni de Koi Security qualifie cela de « vol de crypto à l’échelle industrielle ». Au total, plus de 650 outils malveillants ont été déployés, tous visant à voler les données de portefeuilles numériques.

Extensions de navigateur malveillantes dans Firefox

Greedybear a publié plus de 150 extensions malveillantes sur la place de marché de Firefox, déguisées en portefeuilles populaires tels que Metamask, Tronlink, Exodus et Rabby Wallet. Les criminels ont d’abord utilisé du code légitime pour passer les contrôles de la boutique en ligne.

Une fois approuvées, les extensions ont été modifiées avec du code malveillant capable de voler directement des identifiants depuis de fausses interfaces de portefeuille. Grâce aux avis positifs existants, de nombreux utilisateurs faisaient confiance à ces extensions.

Malwares et rançongiciels ciblant les portefeuilles crypto

Outre les attaques via le navigateur, le groupe a diffusé près de 500 types de malwares. Parmi eux figuraient des voleurs d’identifiants tels que LumMasterStealer et des variantes de rançongiciel telles que Luca Stealer.

Les malwares étaient principalement diffusés via des sites russes proposant des logiciels illégaux ou piratés, infectant de nombreux utilisateurs à leur insu.

De faux sites web leurrent les investisseurs en crypto

Le troisième vecteur d’attaque consistait en des faux sites web conçus de manière professionnelle, se faisant passer pour des fournisseurs de portefeuilles, des appareils matériels ou des services de réparation. Au lieu de simples pages de phishing, les criminels utilisaient des pages d’atterrissage soignées.

Un serveur central faisait office de hub de commande et contrôle pour gérer les données volées, coordonner les attaques par rançongiciel et piloter les sites frauduleux.

L’IA accélère une nouvelle génération de cyberattaques

Selon Koi Security, le code de l’attaque contenait des indices montrant que certaines parties avaient été générées avec l’IA. Cela a permis de passer rapidement à l’échelle et de développer de nouvelles formes d’attaque.

Deddy Lavid, PDG de l’entreprise de cybersécurité Cyvers, met en garde : « Cloner des plugins de portefeuille populaires, gonfler les évaluations puis les remplacer par des malwares est un problème croissant. Les utilisateurs doivent faire preuve d’une vigilance accrue. »