Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA.

• Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe.

• Méthode 2 – Exécutables Windows (près de 500) : identifiés via VirusTotal et reliés à la même infrastructure, ils incluent des voleurs d’identifiants (dont LummaStealer), des ransomwares (avec des variantes évoquant des familles comme « Luca Stealer ») et des trojans génériques. La diffusion se fait via des sites russes proposant des logiciels piratés/repackés, indiquant un pipeline de distribution flexible et multi-outils.

• Méthode 3 – Sites frauduleux : un réseau de pages imitant des produits et services crypto (portefeuilles logiciels/matériels, « réparation » de wallets) sert à leurrer les victimes pour obtenir informations personnelles, identifiants ou détails de paiement. Exemples cités: jup.co.com.trezor-wallet.io, jupiterwallet.co.com.trezor-wallet.io, secure-wallets.co.com.

Infrastructure unifiée et expansion : la majorité des domaines (extensions, payloads EXE, sites) pointent vers une même IP (185.208.156.66), jouant le rôle de C2, collecte de credentials, coordination ransomware et hébergement des scams. Le groupe aurait aussi opéré au-delà de Firefox avec une extension Chrome (« Filecoin Wallet ») parlant à ce même serveur. Selon des signalements d’utilisateurs, plus de 1 M$ auraient été dérobés. Le code présente des artefacts générés par IA, suggérant une montée en volume/vitesse/complexité.

• TTPs observés:

  • Abuse de marketplaces via Extension Hollowing (construction de réputation, faux avis, weaponization différée)
  • Credential harvesting depuis les popups d’extensions et exfiltration vers C2 (avec transmission de l’IP externe)
  • Malvertising/SEO + warez: distribution d’exécutables via sites de logiciels piratés/repackés
  • Multi-outils: stealers (ex. LummaStealer), ransomwares, trojans/loader
  • Phishing/marque: faux sites de produits/services crypto (wallets, hardware, « réparations »)
  • Infrastructure centralisée: domaines multiples résolus vers un unique serveur C2

• IOCs 🧷:

  • IPs: 185.208.156.66, 185.39.206.135
  • Domaines: jup.co.com.trezor-wallet.io; jupiterwallet.co.com.trezor-wallet.io; secure-wallets.co.com
  • Extension Chrome ID: plbdecidfccdnfalpnbjdilfcmjichdk

Il s’agit d’une analyse de menace visant à documenter l’ampleur, l’infrastructure, les méthodes et les IOCs de la campagne « GreedyBear ».

🧠 TTPs et IOCs détectés

TTP

[‘Abuse de marketplaces via Extension Hollowing (construction de réputation, faux avis, weaponization différée)’, ‘Credential harvesting depuis les popups d’extensions et exfiltration vers C2 (avec transmission de l’IP externe)’, ‘Malvertising/SEO + warez: distribution d’exécutables via sites de logiciels piratés/repackés’, ‘Multi-outils: stealers (ex. LummaStealer), ransomwares, trojans/loader’, ‘Phishing/marque: faux sites de produits/services crypto (wallets, hardware, « réparations »)’, ‘Infrastructure centralisée: domaines multiples résolus vers un unique serveur C2’]

IOC

{‘ips’: [‘185.208.156.66’, ‘185.39.206.135’], ‘domaines’: [‘jup.co.com.trezor-wallet.io’, ‘jupiterwallet.co.com.trezor-wallet.io’, ‘secure-wallets.co.com’], ’extension_chrome_id’: ‘plbdecidfccdnfalpnbjdilfcmjichdk’}

🔗 Source originale : https://www.koi.ai/blog/greedybear-650-attack-tools-one-coordinated-campaign