Comment les extensions de navigateur weaponisées de GreedyBear ont compromis plus de $1M dans les avoirs cryptographiques

Une opération sophistiquée de cybercriminalité a été dévoilée par les chercheurs de Koi Security, révélant une campagne étendue orchestrée par le groupe de menace russe GreedyBear. Sur une période de cinq semaines se terminant en août, les attaquants ont réussi à siphonner plus de $1 millions en cryptomonnaie via une infrastructure d’attaque à plusieurs couches.

L’arsenal : 150 extensions de navigateur et plus de 500 fichiers malveillants

L’ampleur de cette opération était stupéfiante. GreedyBear a déployé 150 extensions Firefox weaponisées, distribuées à travers des dizaines de sites web trompeurs conçus pour imiter des plateformes légitimes. Parallèlement, les hackers ont volé des tokens à partir d’infrastructures de support en exploitant près de 500 exécutables Windows malveillants téléchargés sur des dépôts de logiciels russes hébergeant des applications piratées et reconditionnées. Selon Idan Dardikman, CTO chez Koi Security, l’attaque basée sur Firefox s’est avérée être le vecteur le plus lucratif, générant la majorité du butin de $1 millions.

La technique de spoofing de portefeuille

Le mécanisme principal consistait à créer des versions contrefaites de portefeuilles de cryptomonnaie populaires. Les hackers ont ciblé MetaMask, Exodus, Rabby Wallet et TronLink — parmi les solutions d’auto-garde les plus utilisées dans l’écosystème crypto.

Les attaquants ont employé une technique sophistiquée appelée Extension Hollowing pour contourner les revues de sécurité des marketplaces. Le processus se déroulait en plusieurs étapes : d’abord, ils soumettaient une version légitime de l’extension à la boutique officielle, passant la vérification initiale. Une fois approuvée, l’application recevait des mises à jour incrémentielles contenant du code malveillant qui passait inaperçu par les systèmes automatisés. Pour renforcer leur crédibilité, les acteurs de la menace ont fabriqué des avis positifs d’utilisateurs, créant une illusion de fiabilité qui encourageait les téléchargements.

Vol de crédentiels et au-delà

Une fois que des utilisateurs peu méfiants installaient les extensions compromises, le malware commençait immédiatement à récolter les identifiants de portefeuille et les clés privées. Ces accès volés devenaient les clés du royaume — les attaquants les utilisaient ensuite pour vider les avoirs en cryptomonnaie des portefeuilles compromis.

Au-delà des attaques basées sur le navigateur, les exécutables malveillants distribués sur des miroirs de logiciels russes servaient de mécanismes de livraison pour une boîte à outils plus large comprenant des stealers de crédentiels, des ransomwares et diverses variantes de Trojan. Cette approche diversifiée garantissait plusieurs voies pour compromettre les systèmes cibles et extraire des données sensibles.

La campagne souligne une vulnérabilité critique dans la chaîne de sécurité : la confiance que les utilisateurs accordent aux extensions à l’apparence officielle et la facilité relative avec laquelle les acteurs de la menace peuvent exploiter les mécanismes de mise à jour des canaux de distribution légitimes.