Un piège à cryptomonnaies pour les personnes cupides, ou comment voler un voleur

De « sympathiques escrocs » s’attaquent à des investisseurs en cryptomonnaies malhonnêtes en simulant des fuites de portefeuilles et en manipulant leurs victimes pendant des mois.

Nous avons passé plusieurs mois à enquêter sur une nouvelle escroquerie très astucieuse liée aux cryptomonnaies, dans laquelle les victimes étaient lentement mais habilement incitées à installer une application malveillante de gestion de cryptomonnaies. Cependant, les personnes qui se faisaient arnaquer n’avaient de victimes que le nom, car les opérateurs de l’escroquerie, tels des Robin des bois numériques, ciblaient… d’autres voleurs. Avec nous, découvrez en détail cette escroquerie, et apprenez à protéger vos cryptomonnaies.

L’appât initial

Tout a commencé lorsqu’un message Telegram relativement banal et portant sur des cryptomonnaies m’a été transféré. D’autres auraient pu l’ignorer, mais en tant que chef d’équipe des analystes de contenus Internet pour Kaspersky, j’ai pensé qu’il y avait anguille sous roche, et j’ai donc décidé d’y regarder de plus près. Pour échapper à tout contrôle, ce message prenait la forme d’un clip vidéo de cinq secondes, dans lequel figurait une capture d’écran montrant la vente accélérée et à prix cassé de deux projets de cryptomonnaies lucratifs, avec des liens vers ces projets. Probablement destiné à donner au destinataire un faux sentiment de sécurité, le premier lien menait à une véritable plateforme d’échange de cryptomonnaies de second plan, même si celle-ci était de taille modeste. Le véritable appât se cachait derrière le deuxième lien.

La capture d'écran de l'annonce de vente des projets de cryptomonnaies est intégrée à un clip vidéo de cinq secondes. Il s'agit là d'un signal d'alarme !

La capture d’écran de l’annonce de vente des projets de cryptomonnaies est intégrée à un clip vidéo de cinq secondes. Il s’agit là d’un signal d’alarme !

Un dysfonctionnement pratique du serveur

Contrairement à ce que l’on pourrait supposer, cliquer sur le deuxième lien ne faisait pas apparaître de contenu malveillant. Les faits étaient bien plus intéressants : si l’on pouvait s’attendre à voir apparaître une page d’accueil en accédant à l’adresse correspondante, le navigateur affichait en réalité une liste de répertoires racine contenant des noms de fichiers alléchants. À première vue, on pouvait penser que le serveur avait été mal configuré ou que la page d’accueil avait été accidentellement supprimée, révélant de ce fait toutes les données du propriétaire du domaine, qui ne se doutait de rien. Il était possible de cliquer sur n’importe quel fichier de la liste et d’en afficher le contenu directement dans le navigateur car, par chance, tous les fichiers avaient des formats courants et faciles à exploiter, comme TXT, PDF, PNG ou JPG.

Un visiteur voit une liste de fichiers dans le dossier racine. Il n'y a pas un seul fichier HTML

Un visiteur voit une liste de fichiers dans le dossier racine. Il n’y a pas un seul fichier HTML

Le visiteur du site Internet avait ainsi l’impression d’avoir atterri dans le dossier de données personnelles d’un riche mais imprudent propriétaire d’un projet de cryptomonnaies quelconque. Les fichiers texte contenaient des informations relatives à des portefeuilles, accompagnées de phrases secrètes, et les images étaient des captures d’écran attestant de l’envoi réussi d’un montant élevé de cryptomonnaies, de soldes de portefeuilles importants, et du mode de vie luxueux de leur propriétaire.

Les fichiers texte contiennent des adresses, des identifiants, des mots de passe, des phrases secrètes, des clés de récupération, des codes PIN et des clés privées soigneusement collectés

Les fichiers texte contiennent des adresses, des identifiants, des mots de passe, des phrases secrètes, des clés de récupération, des codes PIN et des clés privées soigneusement collectés

L’une des captures d’écran montrait en arrière-plan une vidéo YouTube expliquant comment acheter des yachts et des Ferrari avec des bitcoins. Un catalogue de ces yachts au format PDF pouvait facilement être trouvé dans le même répertoire. En bref, il était question d’un appât vraiment alléchant.

L'écran affiche un instantané de la vie d'un riche fainéant. Alors, quelle est la MEILLEURE FAÇON d'acheter une Ferrari et un yacht avec des bitcoins ?

L’écran affiche un instantané de la vie d’un riche fainéant. Alors, quelle est la MEILLEURE FAÇON d’acheter une Ferrari et un yacht avec des bitcoins ?

De vrais portefeuilles et de l’argent liquide

Le point fort de cette escroquerie est que les informations des portefeuilles sont réelles et qu’il est effectivement possible d’accéder à ces portefeuilles et de consulter, par exemple, l’historique des transactions effectuées sur Exodus ou les actifs des autres portefeuilles, valant près de 150 000 dollars d’après DeBank.

Le portefeuille Exodus est vide, mais il est bien réel et quelqu'un l'a utilisé très récemment

Le portefeuille Exodus est vide, mais il est bien réel et quelqu’un l’a utilisé très récemment

Il n’est toutefois pas possible de retirer quoi que ce soit, car les fonds sont immobilisés ou, autrement dit, bloqués sur le compte. Cependant, ce stratagème permet de faire en sorte que le visiteur soit beaucoup moins sceptique, car tout porte à croire qu’il est question d’une fuite de données réelles liée à de la négligence, et non d’un spam ou de phishing. Par ailleurs, aucun lien externe ni fichier malveillant n’est visible, et il n’y a donc pas lieu de se méfier !

Les montants des autres portefeuilles sont élevés. Dommage que les fonds soient immobilisés (ou bloqués) !

Les montants des autres portefeuilles sont élevés. Dommage que les fonds soient immobilisés (ou bloqués) !

Nous avons observé le site Internet pendant deux mois, sans constater le moindre changement. Les escrocs semblaient attendre qu’une importante communauté d’investisseurs intéressés se constitue, tout en suivant leur comportement à l’aide d’analyses des serveurs Internet. Ce n’est qu’après cette longue période d’échauffement qu’ils sont passés à l’étape suivante de l’attaque.

Un nouvel espoir

Ces deux mois de profond silence ont finalement pris fin avec la publication d’une nouvelle capture d’écran Telegram, montrant un paiement prétendument réussi en Monero. En examinant la capture d’écran de plus près, nous pouvons remarquer une application de portefeuilles « Electrum-XMR » avec un journal de transactions et un solde non négligeable de près de 6 000 jetons Monero (XMR), valant environ un million de dollars au moment de la publication de la capture d’écran.

Début de la phase active : un portefeuille semblant contenir près d'un million de dollars

Début de la phase active : un portefeuille semblant contenir près d’un million de dollars

Par une heureuse coïncidence, un nouveau fichier texte contenant la phrase secrète du portefeuille apparaissait juste à côté de la capture d’écran.

La phrase secrète du portefeuille a servi d'appât

La phrase secrète du portefeuille a servi d’appât

À ce stade, toute personne suffisamment malhonnête ne pouvait que se hâter de télécharger un portefeuille Electrum pour pouvoir se connecter au compte de la fausse victime imprudente et mettre la main sur l’argent restant. Malheureusement, Electrum ne prend en charge que le Bitcoin (et non Monero), et une clé privée (et non une phrase secrète) est requise pour récupérer l’accès à un compte. Lors des tentatives de restauration de la clé à partir de la phrase secrète, tous les convertisseurs légitimes indiquaient que le format de la phrase secrète était incorrect.

L’appât du gain a néanmoins troublé le jugement des investisseurs : après tout, un million de dollars était en jeu, et il était important de se dépêcher avant que quelqu’un d’autre ne vole cet argent. Les investisseurs les plus rapides ont ainsi recherché sur Google « Electrum XMR », ou simplement « Electrum Monero ». Dans tous les cas, le premier résultat était un site Internet censé proposer une reprise logicielle d’Electrum prenant en charge Monero.

La  » bonne  » version du portefeuille apparaît en haut des résultats de recherche

Son design ressemblait à celui du site Internet original d’Electrum et, à la manière d’un site Internet open source classique, il comportait toutes sortes de descriptions, de liens vers GitHub (le stockage original d’Electrum, bien sûr, et non Electrum-XMR), une remarque indiquant explicitement qu’il s’agissait d’une reprise logicielle prenant en charge Monero, ainsi que des liens directs utiles vers des programmes d’installation pour macOS, Windows et Linux.

Le site Internet de la fausse application de portefeuilles est très bien conçu

Le site Internet de la fausse application de portefeuilles est très bien conçu

C’est alors qu’à son insu, le chasseur devient la proie. Le téléchargement et l’installation d’Electrum-XMR infectent l’ordinateur à l’aide d’un programme malveillant identifié par Kaspersky sous le nom de Backdoor.OLE2.RA-Based.a et offrant aux pirates informatiques un accès à distance caché. Ensuite, les pirates informatiques analysent vraisemblablement le contenu de la machine et volent les données des portefeuilles de cryptomonnaies, ainsi que toute autre information utile.

Notre solution de sécurité aurait bloqué le site Internet malveillant, sans parler d’une tentative d’installation d’un cheval de Troie, mais parmi nos utilisateurs ne figurent pas des chasseurs de cryptomonnaies désireux de mettre la main sur l’argent de quelqu’un d’autre.

Notre solution de sécurité bloque le site Internet malveillant, sans parler d'une tentative d'installation d'un cheval de Troie

Notre solution de sécurité bloque le site Internet malveillant, sans parler d’une tentative d’installation d’un cheval de Troie

Tout à coup, une deuxième itération

Quelque temps plus tard, alors que notre enquête sur cet exploit en matière d’ingénierie sociale était terminée, nous avons reçu un autre appât, ce qui ne nous a guère surpris. À cette occasion, les escrocs sont passés d’une lente cuisson à la vapeur à une cuisson au grill. La capture d’écran envoyée montrait un faux portefeuille avec un solde important, accompagné d’un fichier texte ouvert contenant une multitude d’informations personnelles et un lien soigneusement ajouté vers un site Internet malveillant. Cette escroquerie a apparemment fait ses preuves, et nous nous attendons donc à un grand nombre d’attaques similaires.

Dans la deuxième version de l'escroquerie, les escrocs sont allés droit au but en rassemblant toutes les informations pertinentes dans une seule capture d'écran

Dans la deuxième version de l’escroquerie, les escrocs sont allés droit au but en rassemblant toutes les informations pertinentes dans une seule capture d’écran

Reconnaître l’attaque

Les victimes de l’escroquerie dont nous venons de parler ne nous inspirent aucune compassion, étant donné qu’elles ont mordu à l’hameçon en aspirant à voler l’argent de quelqu’un d’autre. Cependant, les escrocs ne cessent de trouver de nouvelles astuces et, la prochaine fois, un moyen prétendument éthique de gagner de l’argent pourrait vous être proposé. Par exemple, vous pourriez tomber par accident sur une capture d’écran faisant la promotion d’un airdrop lucratif, le lien vers celui-ci figurant directement dans la barre d’adresse…

Faites donc preuve de vigilance, et prenez toute information avec de grosses pincettes. Chaque étape de l’attaque était suspecte à sa manière. L’annonce de vente du site Internet prenait manifestement la forme d’un clip vidéo accompagné d’une capture d’écran afin de contourner les algorithmes anti-spam. Un site Internet qui ne contient que des fichiers texte non chiffrés et renfermant des données de portefeuilles de cryptomonnaies est trop beau pour être vrai. Le domaine censé héberger la reprise logicielle pour les portefeuilles de cryptomonnaies avait été enregistré seulement deux mois avant l’attaque. Mais surtout, le paysage des cryptomonnaies étant truffé d’escroqueries, l’utilisation d’applications de portefeuilles méconnues constitue un risque inacceptable. Suivez donc les étapes suivantes :

Conseils