Crypto Thieves Dubbed ‘GreedyBear’ Run Industrial-Scale Scam – Details

bitcoinistPublié le 2025-08-10Dernière mise à jour le 2025-08-10

Résumé

A cybercrime group called “GreedyBear” has been accused of stealing over $1 million through what researchers say is one of...

Trusted Editorial content, reviewed by leading industry experts and seasoned editors. Ad Disclosure

A cybercrime group called “GreedyBear” has been accused of stealing over $1 million through what researchers say is one of the most wide-reaching crypto theft operations seen in months.

Reports from Koi Security reveal the group is running a coordinated campaign that mixes malicious browser extensions, malware, and scam websites — all under one network.

Extensions Turned Into Wallet-Stealing Tools

Instead of focusing on just one method, GreedyBear has combined several. According to Koi Security researcher Tuval Admoni, the group has deployed more than 650 malicious tools in its latest push.

This marks a sharp rise from its earlier “Foxy Wallet” operation in July, which involved 40 Firefox extensions.

The group’s tactic, called “Extension Hollowing,” starts with publishing clean-looking Firefox add-ons such as video downloaders or link cleaners.

These extensions, released under fresh publisher accounts, collect fake positive reviews to appear trustworthy. Later, they are swapped for malicious versions impersonating wallets like MetaMask, TronLink, Exodus, and Rabby Wallet.

Once installed, they grab credentials from input fields and send them to GreedyBear’s control servers.

Malware Hidden In Pirated Software

Investigators have also tied nearly 500 malicious Windows files to the same group. Many of these belong to well-known malware families such as LummaStealer, ransomware similar to Luca Stealer, and trojans acting as loaders for other harmful programs.

Distribution frequently occurs through Russian-language websites that host cracked or “repacked” software. Targeting those seeking free software, the attackers reach far beyond the crypto community.

Modular malware was also found by Koi Security, in which operators can add or swap functions without deploying completely new files.

Total crypto market cap currently $3.9 trillion. Chart: TradingView

Fake Crypto Services Created To Swipe Data

Based on reports, in addition to the browser attacks and malware, GreedyBear has established fraudulent websites that fake themselves as genuine cryptocurrency solutions.

Some of these are said to offer hardware wallets, and others are fake wallet repair services for devices such as Trezor.

Also on offer are fake wallet apps with good-looking designs that trick users into inputting recovery phrases, private keys, and payment information.

Unlike standard phishing sites that copy exchange login pages, these scam pages look more like product or support portals.

Reports added that some of them remain active and are still collecting sensitive data, while others are on standby for future use.

Investigators found that nearly all domains tied to these operations lead back to a single IP address — 185.208.156.66. This server acts as the campaign’s hub, handling stolen credentials, coordinating ransomware activity, and hosting scam sites.

Featured image from Unsplash, chart from TradingView

Editorial Process for bitcoinist is centered on delivering thoroughly researched, accurate, and unbiased content. We uphold strict sourcing standards, and each page undergoes diligent review by our team of top technology experts and seasoned editors. This process ensures the integrity, relevance, and value of our content for our readers.

Christian, a journalist and editor with leadership roles in Philippine and Canadian media, is fueled by his love for writing and cryptocurrency. Off-screen, he's a cook and cinephile who's constantly intrigued by the size of the universe.

Lectures associées

Les contrats à terme de Solana et Dogecoin racontent des histoires différentes alors que les positions longues se dénouent

L'intérêt ouvert (open interest) des contrats à terme sur le Dogecoin est tombé sous les 960 millions de dollars, contre 1,7 milliard précédemment, en raison de la liquidation de positions longues. À l'inverse, l'intérêt ouvert sur le Solana a augmenté pour atteindre 5,5 milliards de dollars, signalant un déplacement rotationnel des positions sur le marché des futures. Il est crucial de noter que la baisse de l'intérêt ouvert indique un dénouement de positions longues, et non une augmentation active des positions courtes. Cela montre que le levier quitte le trade DOGE, tandis que les traders restent disposés à exprimer des vues directionnelles sur le SOL. Pour les traders, cette divergence est significative car elle reflète l'évolution de l'appétit pour le risque et la manière dont la liquidité se déplace actuellement entre les crypto-monnaies. Ces signaux de marché structurels, souvent liés aux flux des ETF, aux décisions de trésorerie et à la rotation des liquidités, doivent être interprétés avec prudence et dans un contexte plus large. Ils constituent une indication sur le positionnement et la confiance, mais pas une garantie sur l'évolution future des prix. La prochaine étape consistera à observer si cette tendance se confirme dans les flux, les données on-chain et d'autres métriques, pour déterminer s'il s'agit d'un thème de marché durable ou d'un simple ajustement de position à court terme.

bitcoinistIl y a 1 h

Les contrats à terme de Solana et Dogecoin racontent des histoires différentes alors que les positions longues se dénouent

bitcoinistIl y a 1 h

L'empire crypto de Trump génère 1,4 milliard de dollars en 2025 : WLFI et TRUMP sous surveillance

L'empire cryptographique de Donald Trump a généré plus de 1,4 milliard de dollars de revenus en 2025, marquant un tournant où ses investissements dans les cryptomonnaies surpassent désormais ses activités traditionnelles. Cette manne provient principalement de la vente de tokens par World Liberty Financial (près de 600 millions de dollars) et du mémecoin officiel TRUMP (environ 636 millions de dollars), malgré une chute vertigineuse de son cours. Cette réussite financière place désormais les intérêts commerciaux du président au cœur du débat politique sur la régulation des actifs numériques. L'administration a promu des réformes comme le GENIUS Act et le CLARITY Act, visant à clarifier les règles, notamment pour les stablecoins. Cependant, ces initiatives suscitent des inquiétudes quant à des conflits d'intérêts potentiels, des parlementaires appelant à renforcer les garde-fous éthiques et la transparence. Parallèlement, l'action des régulateurs comme la SEC a considérablement diminué, reflétant une priorité donnée à l'élaboration de cadres juridiques plutôt qu'à la répression. Malgré cette politisation croissante, les marchés semblent encore réagir principalement aux fondamentaux économiques. À l'avenir, la pression éthique pourrait néanmoins remodeler les normes de surveillance du secteur cryptographique.

ambcryptoIl y a 3 h

L'empire crypto de Trump génère 1,4 milliard de dollars en 2025 : WLFI et TRUMP sous surveillance

ambcryptoIl y a 3 h

Trading

Spot
活动图片