Nous avons passé plusieurs mois à enquêter sur une nouvelle escroquerie très astucieuse liée aux cryptomonnaies, dans laquelle les victimes étaient lentement mais habilement incitées à installer une application malveillante de gestion de cryptomonnaies. Cependant, les personnes qui se faisaient arnaquer n’avaient de victimes que le nom, car les opérateurs de l’escroquerie, tels des Robin des bois numériques, ciblaient… d’autres voleurs. Avec nous, découvrez en détail cette escroquerie, et apprenez à protéger vos cryptomonnaies.
L’appât initial
Tout a commencé lorsqu’un message Telegram relativement banal et portant sur des cryptomonnaies m’a été transféré. D’autres auraient pu l’ignorer, mais en tant que chef d’équipe des analystes de contenus Internet pour Kaspersky, j’ai pensé qu’il y avait anguille sous roche, et j’ai donc décidé d’y regarder de plus près. Pour échapper à tout contrôle, ce message prenait la forme d’un clip vidéo de cinq secondes, dans lequel figurait une capture d’écran montrant la vente accélérée et à prix cassé de deux projets de cryptomonnaies lucratifs, avec des liens vers ces projets. Probablement destiné à donner au destinataire un faux sentiment de sécurité, le premier lien menait à une véritable plateforme d’échange de cryptomonnaies de second plan, même si celle-ci était de taille modeste. Le véritable appât se cachait derrière le deuxième lien.
Un dysfonctionnement pratique du serveur
Contrairement à ce que l’on pourrait supposer, cliquer sur le deuxième lien ne faisait pas apparaître de contenu malveillant. Les faits étaient bien plus intéressants : si l’on pouvait s’attendre à voir apparaître une page d’accueil en accédant à l’adresse correspondante, le navigateur affichait en réalité une liste de répertoires racine contenant des noms de fichiers alléchants. À première vue, on pouvait penser que le serveur avait été mal configuré ou que la page d’accueil avait été accidentellement supprimée, révélant de ce fait toutes les données du propriétaire du domaine, qui ne se doutait de rien. Il était possible de cliquer sur n’importe quel fichier de la liste et d’en afficher le contenu directement dans le navigateur car, par chance, tous les fichiers avaient des formats courants et faciles à exploiter, comme TXT, PDF, PNG ou JPG.
Le visiteur du site Internet avait ainsi l’impression d’avoir atterri dans le dossier de données personnelles d’un riche mais imprudent propriétaire d’un projet de cryptomonnaies quelconque. Les fichiers texte contenaient des informations relatives à des portefeuilles, accompagnées de phrases secrètes, et les images étaient des captures d’écran attestant de l’envoi réussi d’un montant élevé de cryptomonnaies, de soldes de portefeuilles importants, et du mode de vie luxueux de leur propriétaire.
L’une des captures d’écran montrait en arrière-plan une vidéo YouTube expliquant comment acheter des yachts et des Ferrari avec des bitcoins. Un catalogue de ces yachts au format PDF pouvait facilement être trouvé dans le même répertoire. En bref, il était question d’un appât vraiment alléchant.
De vrais portefeuilles et de l’argent liquide
Le point fort de cette escroquerie est que les informations des portefeuilles sont réelles et qu’il est effectivement possible d’accéder à ces portefeuilles et de consulter, par exemple, l’historique des transactions effectuées sur Exodus ou les actifs des autres portefeuilles, valant près de 150 000 dollars d’après DeBank.
Il n’est toutefois pas possible de retirer quoi que ce soit, car les fonds sont immobilisés ou, autrement dit, bloqués sur le compte. Cependant, ce stratagème permet de faire en sorte que le visiteur soit beaucoup moins sceptique, car tout porte à croire qu’il est question d’une fuite de données réelles liée à de la négligence, et non d’un spam ou de phishing. Par ailleurs, aucun lien externe ni fichier malveillant n’est visible, et il n’y a donc pas lieu de se méfier !
Nous avons observé le site Internet pendant deux mois, sans constater le moindre changement. Les escrocs semblaient attendre qu’une importante communauté d’investisseurs intéressés se constitue, tout en suivant leur comportement à l’aide d’analyses des serveurs Internet. Ce n’est qu’après cette longue période d’échauffement qu’ils sont passés à l’étape suivante de l’attaque.
Un nouvel espoir
Ces deux mois de profond silence ont finalement pris fin avec la publication d’une nouvelle capture d’écran Telegram, montrant un paiement prétendument réussi en Monero. En examinant la capture d’écran de plus près, nous pouvons remarquer une application de portefeuilles « Electrum-XMR » avec un journal de transactions et un solde non négligeable de près de 6 000 jetons Monero (XMR), valant environ un million de dollars au moment de la publication de la capture d’écran.
Par une heureuse coïncidence, un nouveau fichier texte contenant la phrase secrète du portefeuille apparaissait juste à côté de la capture d’écran.
À ce stade, toute personne suffisamment malhonnête ne pouvait que se hâter de télécharger un portefeuille Electrum pour pouvoir se connecter au compte de la fausse victime imprudente et mettre la main sur l’argent restant. Malheureusement, Electrum ne prend en charge que le Bitcoin (et non Monero), et une clé privée (et non une phrase secrète) est requise pour récupérer l’accès à un compte. Lors des tentatives de restauration de la clé à partir de la phrase secrète, tous les convertisseurs légitimes indiquaient que le format de la phrase secrète était incorrect.
L’appât du gain a néanmoins troublé le jugement des investisseurs : après tout, un million de dollars était en jeu, et il était important de se dépêcher avant que quelqu’un d’autre ne vole cet argent. Les investisseurs les plus rapides ont ainsi recherché sur Google « Electrum XMR », ou simplement « Electrum Monero ». Dans tous les cas, le premier résultat était un site Internet censé proposer une reprise logicielle d’Electrum prenant en charge Monero.
Son design ressemblait à celui du site Internet original d’Electrum et, à la manière d’un site Internet open source classique, il comportait toutes sortes de descriptions, de liens vers GitHub (le stockage original d’Electrum, bien sûr, et non Electrum-XMR), une remarque indiquant explicitement qu’il s’agissait d’une reprise logicielle prenant en charge Monero, ainsi que des liens directs utiles vers des programmes d’installation pour macOS, Windows et Linux.
C’est alors qu’à son insu, le chasseur devient la proie. Le téléchargement et l’installation d’Electrum-XMR infectent l’ordinateur à l’aide d’un programme malveillant identifié par Kaspersky sous le nom de Backdoor.OLE2.RA-Based.a et offrant aux pirates informatiques un accès à distance caché. Ensuite, les pirates informatiques analysent vraisemblablement le contenu de la machine et volent les données des portefeuilles de cryptomonnaies, ainsi que toute autre information utile.
Notre solution de sécurité aurait bloqué le site Internet malveillant, sans parler d’une tentative d’installation d’un cheval de Troie, mais parmi nos utilisateurs ne figurent pas des chasseurs de cryptomonnaies désireux de mettre la main sur l’argent de quelqu’un d’autre.
Tout à coup, une deuxième itération
Quelque temps plus tard, alors que notre enquête sur cet exploit en matière d’ingénierie sociale était terminée, nous avons reçu un autre appât, ce qui ne nous a guère surpris. À cette occasion, les escrocs sont passés d’une lente cuisson à la vapeur à une cuisson au grill. La capture d’écran envoyée montrait un faux portefeuille avec un solde important, accompagné d’un fichier texte ouvert contenant une multitude d’informations personnelles et un lien soigneusement ajouté vers un site Internet malveillant. Cette escroquerie a apparemment fait ses preuves, et nous nous attendons donc à un grand nombre d’attaques similaires.
Reconnaître l’attaque
Les victimes de l’escroquerie dont nous venons de parler ne nous inspirent aucune compassion, étant donné qu’elles ont mordu à l’hameçon en aspirant à voler l’argent de quelqu’un d’autre. Cependant, les escrocs ne cessent de trouver de nouvelles astuces et, la prochaine fois, un moyen prétendument éthique de gagner de l’argent pourrait vous être proposé. Par exemple, vous pourriez tomber par accident sur une capture d’écran faisant la promotion d’un airdrop lucratif, le lien vers celui-ci figurant directement dans la barre d’adresse…
Faites donc preuve de vigilance, et prenez toute information avec de grosses pincettes. Chaque étape de l’attaque était suspecte à sa manière. L’annonce de vente du site Internet prenait manifestement la forme d’un clip vidéo accompagné d’une capture d’écran afin de contourner les algorithmes anti-spam. Un site Internet qui ne contient que des fichiers texte non chiffrés et renfermant des données de portefeuilles de cryptomonnaies est trop beau pour être vrai. Le domaine censé héberger la reprise logicielle pour les portefeuilles de cryptomonnaies avait été enregistré seulement deux mois avant l’attaque. Mais surtout, le paysage des cryptomonnaies étant truffé d’escroqueries, l’utilisation d’applications de portefeuilles méconnues constitue un risque inacceptable. Suivez donc les étapes suivantes :
- Utilisez uniquement les principales applications de portefeuilles et plateformes d’échange de cryptomonnaies ayant fait leurs preuves.
- Vérifiez bien que vous vous connectez uniquement via des sites Internet officiels et que vous téléchargez exclusivement des applications provenant de sources fiables.
- Lisez nos conseils pour repérer les escrocs en ligne.
- Utilisez une protection complète pour votre ordinateur et votre smartphone qui vous empêchera d’accéder à des sites Internet de phishing ou d’exécuter des programmes malveillants.
- Abonnez-vous à notre blog et/ou à notre chaîne Telegram pour être parmi les premiers à découvrir les nouvelles menaces.