GreedyBear: campagne coordonnée d’extensions Firefox piégées, malwares et sites crypto frauduleux
Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA. • Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe. ...