Crypto Thieves Dubbed ‘GreedyBear’ Run Industrial-Scale Scam – Details

bitcoinistXuất bản vào 2025-08-10Cập nhật gần nhất vào 2025-08-10

Tóm tắt

A cybercrime group called “GreedyBear” has been accused of stealing over $1 million through what researchers say is one of...

Trusted Editorial content, reviewed by leading industry experts and seasoned editors. Ad Disclosure

A cybercrime group called “GreedyBear” has been accused of stealing over $1 million through what researchers say is one of the most wide-reaching crypto theft operations seen in months.

Reports from Koi Security reveal the group is running a coordinated campaign that mixes malicious browser extensions, malware, and scam websites — all under one network.

Extensions Turned Into Wallet-Stealing Tools

Instead of focusing on just one method, GreedyBear has combined several. According to Koi Security researcher Tuval Admoni, the group has deployed more than 650 malicious tools in its latest push.

This marks a sharp rise from its earlier “Foxy Wallet” operation in July, which involved 40 Firefox extensions.

The group’s tactic, called “Extension Hollowing,” starts with publishing clean-looking Firefox add-ons such as video downloaders or link cleaners.

These extensions, released under fresh publisher accounts, collect fake positive reviews to appear trustworthy. Later, they are swapped for malicious versions impersonating wallets like MetaMask, TronLink, Exodus, and Rabby Wallet.

Once installed, they grab credentials from input fields and send them to GreedyBear’s control servers.

Malware Hidden In Pirated Software

Investigators have also tied nearly 500 malicious Windows files to the same group. Many of these belong to well-known malware families such as LummaStealer, ransomware similar to Luca Stealer, and trojans acting as loaders for other harmful programs.

Distribution frequently occurs through Russian-language websites that host cracked or “repacked” software. Targeting those seeking free software, the attackers reach far beyond the crypto community.

Modular malware was also found by Koi Security, in which operators can add or swap functions without deploying completely new files.

Total crypto market cap currently $3.9 trillion. Chart: TradingView

Fake Crypto Services Created To Swipe Data

Based on reports, in addition to the browser attacks and malware, GreedyBear has established fraudulent websites that fake themselves as genuine cryptocurrency solutions.

Some of these are said to offer hardware wallets, and others are fake wallet repair services for devices such as Trezor.

Also on offer are fake wallet apps with good-looking designs that trick users into inputting recovery phrases, private keys, and payment information.

Unlike standard phishing sites that copy exchange login pages, these scam pages look more like product or support portals.

Reports added that some of them remain active and are still collecting sensitive data, while others are on standby for future use.

Investigators found that nearly all domains tied to these operations lead back to a single IP address — 185.208.156.66. This server acts as the campaign’s hub, handling stolen credentials, coordinating ransomware activity, and hosting scam sites.

Featured image from Unsplash, chart from TradingView

Editorial Process for bitcoinist is centered on delivering thoroughly researched, accurate, and unbiased content. We uphold strict sourcing standards, and each page undergoes diligent review by our team of top technology experts and seasoned editors. This process ensures the integrity, relevance, and value of our content for our readers.

Christian, a journalist and editor with leadership roles in Philippine and Canadian media, is fueled by his love for writing and cryptocurrency. Off-screen, he's a cook and cinephile who's constantly intrigued by the size of the universe.

Nội dung Liên quan

Khối Lượng Stablecoin TRON Đạt 1,96 Tỷ USD Khi Nhu Cầu Thanh Toán USDT Tăng Mạnh

TRON đã xử lý 1,96 nghìn tỷ USD khối lượng giao dịch stablecoin trong Quý 1/2026, chủ yếu nhờ giao dịch USDT trên chuẩn TRC-20 với phí thấp. Sự bùng nổ này phản ánh nhu cầu sử dụng ổn định của USDT cho mục đích thanh toán trong thế giới thực. Tuy nhiên, báo cáo nhấn mạnh một điểm quan trọng cần lưu ý: khối lượng giao dịch khổng lồ không làm giảm bớt những chỉ trích lâu nay về mức độ tập trung của mạng lưới TRON và sự phát triển hạn chế của hệ sinh thái DeFi bên ngoài lĩnh vực stablecoin. Đối với nhà giao dịch, đây là một tín hiệu cho thấy sự dịch chuyển về nhu cầu thanh khoản và chấp nhận rủi ro, có thể ảnh hưởng đến tâm lý thị trường và định giá tài sản. Tuy nhiên, cần hiểu đây chỉ là một tín hiệu, không phải sự đảm bảo cho một xu hướng dài hạn. Các hiệu ứng thứ cấp từ tin tức này có thể tác động đáng kể khi thanh khoản thị trường mỏng. Điều cần theo dõi tiếp theo là liệu mô hình này có được xác nhận bởi các dòng tiền, số liệu on-chain và dữ liệu vĩ mô tiếp theo hay không, hay nó chỉ là một động thái định vị ngắn hạn. Câu chuyện này là một mảnh ghép giúp hiểu hơn về dòng vốn đang luân chuyển trong thị trường tiền điện tử.

bitcoinist40 phút trước

Khối Lượng Stablecoin TRON Đạt 1,96 Tỷ USD Khi Nhu Cầu Thanh Toán USDT Tăng Mạnh

bitcoinist40 phút trước

Solana và Hợp đồng Tương lai Dogecoin Kể Những Câu Chuyện Khác nhau Khi Các Vị thế Mua Dài hạn Giải tỏa

Dogecoin (DOGE) và Solana (SOL) đang cho thấy hai bức tranh trái ngược trên thị trường phái sinh. Trong khi số tiền cam kết (open interest) cho Dogecoin giảm mạnh từ 1,7 tỷ USD xuống dưới 960 triệu USD, thì chỉ số này của Solana lại tăng lên 5,5 tỷ USD. Điều quan trọng cần hiểu là việc giảm open interest của DOGE chủ yếu đến từ việc các lệnh mua dài hạn (long positions) bị thanh lý hoặc đóng cửa, chứ không phải do áp lực bán khống gia tăng. Điều này cho thấy đòn bẩy đang rút khỏi Dogecoin. Ngược lại, mức open interest cao của Solana chỉ ra rằng các nhà giao dịch vẫn đang tích cực thể hiện quan điểm tăng giá với SOL, phản ánh dòng vốn có thể đang xoay vòng giữa các tài sản tiền điện tử. Bối cảnh này rất quan trọng cho các nhà giao dịch. Nó không chỉ là câu chuyện về giá mà còn là tín hiệu về sự thay đổi trong khẩu vị rủi ro và vị thế trên thị trường. Trong một thị trường vẫn chịu ảnh hưởng bởi dòng tiền ETF, đòn bẩy và thanh khoản luân chuyển, những tín hiệu về cấu trúc thị trường như vậy cần được phân tích một cách thận trọng, cùng với các điều kiện vĩ mô và thanh khoản rộng hơn, thay vì coi đó là một đảm bảo chắc chắn cho biến động giá trong tương lai.

bitcoinist1 giờ trước

Solana và Hợp đồng Tương lai Dogecoin Kể Những Câu Chuyện Khác nhau Khi Các Vị thế Mua Dài hạn Giải tỏa

bitcoinist1 giờ trước

Đế chế tiền mã hóa của Trump tạo ra 1,4 tỷ USD vào năm 2025: WLFI, TRUMP dưới sự giám sát

Tổng thống Donald Trump công bố một sự chuyển hướng lớn trong đế chế tài chính của mình khi các khoản đầu tư tiền mã hóa đã trở thành nguồn thu nhập chính, vượt xa các dự án truyền thống. Trong năm 2025, các dự án tiền mã hóa có sự hậu thuẫn của gia đình ông đã tạo ra hơn 1,4 tỷ USD doanh thu. Phần lớn đến từ việc bán token World Liberty Financial (WLFI) và đồng memecoin TRUMP chính thức, dù giá TRUMP đã giảm mạnh từ đỉnh 74,24 USD xuống còn 1,67 USD. Thành công này đã đưa lợi ích kinh doanh của Trump vào trung tâm cuộc tranh luận chính sách về tiền mã hóa. Các đạo luật như GENIUS Act và CLARITY Act nhằm tạo khuôn khổ rõ ràng hơn cho stablecoin và thị trường tài sản số, nhưng cũng làm dấy lên lo ngại về xung đột lợi ích, vì các quy định thân thiện có thể làm lợi cho doanh nghiệp của tổng thống. Trong khi đó, hoạt động thực thi của SEC và CFTC đối với tiền mã hóa đã giảm mạnh vào năm 2025, cho thấy sự chuyển trọng tâm của cơ quan quản lý sang xây dựng khung pháp lý. Tuy nhiên, thị trường hiện vẫn chịu ảnh hưởng nhiều hơn bởi các yếu tố cơ bản như lãi suất và dòng tiền ETF. Áp lực về đạo đức và tính minh bạch dự kiến sẽ định hình lại các tiêu chuẩn quản lý và tăng cường trách nhiệm giải trình trong tương lai.

ambcrypto3 giờ trước

Đế chế tiền mã hóa của Trump tạo ra 1,4 tỷ USD vào năm 2025: WLFI, TRUMP dưới sự giám sát

ambcrypto3 giờ trước

Giao dịch

Giao ngay
活动图片