Slimme crypto-oplichters slaan toe op grote schaal

Een nieuwe cybercrimegroep genaamd GreedyBear heeft in korte tijd meer dan 1 miljoen dollar aan cryptovaluta buitgemaakt. Ze gebruiken een slimme mix van nepwallets, malware en overtuigende nepsites om crypto-investeerders te misleiden. Volgens cybersecuritybedrijf Koi Security hebben we hier niet te maken met een tijdelijke aanval, maar met een nieuwe standaard in digitale diefstal.

Wat doet GreedyBear precies?

GreedyBear pakt het anders aan dan traditionele hackers. In plaats van één methode te gebruiken, combineren ze drie vormen van aanval:

1. Nep-extensies in je browser

GreedyBear heeft meer dan 150 kwaadaardige browserextensies verspreid, vooral via de Firefox Marketplace. Deze extensies bootsen bekende wallets na zoals MetaMask, TronLink, Exodus en Rabby Wallet.

De methode werkt als volgt: de criminelen uploaden eerst een legitiem ogende extensie, die door de keuring komt. Pas daarna voegen ze kwaadaardige code toe. Zo lijkt de extensie betrouwbaar, mét positieve reviews, maar steelt ondertussen je walletgegevens.

Deze aanpak wordt ook wel “extension hollowing” genoemd: een bestaande, vertrouwde tool wordt later alsnog misbruikt.

2. Gerichte crypto-malware

Een andere aanvalsvorm is het verspreiden van malware die specifiek gericht is op crypto wallets. Denk aan:

• LummaStealer – een tool die je inloggegevens voor je wallet probeert te onderscheppen
• Luca Stealer – ransomware die je bestanden gijzelt en losgeld eist in crypto

De malware wordt vooral verspreid via Russische sites die “gratis” of gekraakte software aanbieden. De kans dat je via zo’n site besmet raakt, is groot – zeker als je op zoek bent naar goedkope software.

3. Nepsites die eruitzien als echte crypto-diensten

De derde methode is misschien wel de meest overtuigende: professioneel ogende nepsites die zich voordoen als officiële walletpagina’s, hardwareproviders of repair services. Het zijn geen simpele phishingpagina’s, maar strak vormgegeven landingspagina’s.

Deze sites worden beheerd via een centraal systeem dat ook wordt gebruikt voor het verzamelen van gegevens en het aansturen van malware. Sommige delen van de aanvalscampagne zijn zelfs deels door AI gegenereerd, waardoor GreedyBear sneller kan opschalen dan traditionele hackers.

Wat is een browserextensie?

Een browserextensie is een mini-app die je toevoegt aan je internetbrowser om extra functies toe te voegen. Bekende wallets zoals MetaMask werken via zo’n extensie. Maar als je een nepvariant installeert, geef je onbewust je privésleutels weg – en dus toegang tot je crypto.

Hoe kun je jezelf beschermen?

Als crypto-investeerder is het belangrijk om extra waakzaam te zijn. Let op de volgende punten:

• Download extensies alleen via officiële links van de wallet zelf, en niet via zoekresultaten
• Vertrouw niet blind op reviews in de browserstore
• Gebruik antivirussoftware en doe regelmatig een scan
• Vermijd sites die illegale software aanbieden
• Controleer altijd of je op de juiste domeinnaam zit

Conclusie: crypto-oplichting wordt slimmer en sneller

GreedyBear laat zien hoe geavanceerd crypto-oplichting inmiddels is geworden. Door de inzet van nepwallets, malware én nepsites – allemaal ondersteund door AI – kunnen deze aanvallen razendsnel groeien. De les? Blijf kritisch en download niets zomaar. Gebruik betrouwbare tools zoals Bitvavo voor het veilig kopen van crypto en een Web3-wallet zoals OKX voor veilige opslag.

Veelgestelde vragen

Wat maakt GreedyBear anders dan eerdere hacks?
Ze combineren drie verschillende aanvalsmethoden en zetten AI in om hun operaties sneller en slimmer te maken. Daardoor zijn ze moeilijker te detecteren en gevaarlijker voor gebruikers.

Hoe herken ik een valse wallet-extensie?
Check altijd de bron. Ga direct naar de website van de wallet (zoals metamask.io) en gebruik geen browserzoekresultaten of advertenties. Let ook op verdachte updates of wijzigingen.

Wat is ransomware precies?
Ransomware is een type malware dat je bestanden blokkeert of versleutelt. Je krijgt pas weer toegang als je een losgeldbedrag betaalt – vaak in crypto.