Een nieuwe, grootschalige cybercampagne genaamd ‘GreedyBear’, heeft wereldwijd al meer dan een miljoen dollar aan cryptovaluta buitgemaakt. De aanval richt zich op gebruikers van populaire wallets zoals MetaMask, TronLink, Exodus en Rabby Wallet, door middel van meer dan 150 schadelijke browserextensies in de Firefox Marketplace.
Onderzoekers van Koi Security ontdekten dat de criminelen gebruikmaken van een techniek die zij ‘Extension Hollowing’ noemen. Hierbij worden eerst onschuldige extensies geplaatst om controles te passeren, compleet met valse positieve reviews, waarna deze later heimelijk worden voorzien van kwaadaardige code. De extensies stelen walletgegevens en IP-adressen, en sturen deze naar servers onder controle van de aanvallers.
De campagne blijkt een doorontwikkeling van eerdere ‘Foxy Wallet’-aanvallen en breidt zich inmiddels uit naar andere browsers, waaronder Chrome. Ook worden nepsites opgezet die zich voordoen als wallet-reparatietools, en via Russische sites met illegale software worden informatiedieven en zelfs ransomware verspreid.
Bovendien is duidelijk geworden dat de criminelen AI-tools inzetten om aanvallen op grote schaal en met grote snelheid te ontwikkelen. Een tweede grote fraude, ontdekt door SentinelOne, gebruikt AI-gegenereerde YouTube-video’s en oude, ‘legitiem’ ogende accounts om valse crypto-trading bots te promoten. Zodra slachtoffers de instructies volgen en ETH naar een slim contract sturen, verdwijnen de fondsen naar criminele wallets.
Het Surinaamse cybersecuritybedrijf Avigdor waarschuwt dat ook lokale gebruikers kwetsbaar zijn, nu steeds meer Surinamers handelen in cryptovaluta. Volgens het bedrijf is het cruciaal om browserextensies en apps uitsluitend te downloaden van officiële, betrouwbare bronnen en om uitgevers altijd te verifiëren. Wallettransacties voor grotere bedragen zouden bij voorkeur offline moeten plaatsvinden via hardware wallets of cold storage, zodat browser aanvallen geen directe toegang hebben.
Daarnaast moeten gebruikers alert blijven op te mooie beloftes, zoals trading bots die gegarandeerde winsten claimen, en bewust zijn van het feit dat cybercriminelen steeds geloofwaardiger opereren met behulp van AI. Beveiligingsextensies en up-to-date software kunnen helpen om phishing- en malwaresites te blokkeren. Het melden van verdachte websites of video’s bij de desbetreffende platforms versnelt de verwijdering ervan.
Avigdor roept bedrijven, financiële instellingen en overheden in Suriname op om te investeren in security-awareness programma’s, zodat personeel bedreigingen sneller herkent, van klassieke phishing tot AI-gestuurde scams. Het is geen kwestie van of, maar wanneer deze methoden in Suriname opduiken waarschuwt het bedrijf. Voorbereiding en bewustwording zijn onze eerste verdedigingslinie.
