{"id":22075,"date":"2024-07-31T12:32:17","date_gmt":"2024-07-31T10:32:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22075"},"modified":"2024-07-31T12:32:17","modified_gmt":"2024-07-31T10:32:17","slug":"cryptowallet-seed-phrase-fake-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cryptowallet-seed-phrase-fake-leaks\/22075\/","title":{"rendered":"Un pi\u00e8ge \u00e0 cryptomonnaies pour les personnes cupides, ou comment voler un voleur"},"content":{"rendered":"

Nous avons pass\u00e9 plusieurs mois \u00e0 enqu\u00eater sur une nouvelle escroquerie tr\u00e8s astucieuse li\u00e9e aux cryptomonnaies, dans laquelle les victimes \u00e9taient lentement mais habilement incit\u00e9es \u00e0 installer une application malveillante de gestion de cryptomonnaies. Cependant, les personnes qui se faisaient arnaquer n\u2019avaient de victimes que le nom, car les op\u00e9rateurs de l\u2019escroquerie, tels des Robin des bois num\u00e9riques, ciblaient\u2026 d\u2019autres voleurs. Avec nous, d\u00e9couvrez en d\u00e9tail cette escroquerie, et apprenez \u00e0 prot\u00e9ger vos cryptomonnaies<\/a>.<\/p>\n

L\u2019app\u00e2t initial<\/h2>\n

Tout a commenc\u00e9 lorsqu\u2019un message Telegram relativement banal et portant sur des cryptomonnaies m\u2019a \u00e9t\u00e9 transf\u00e9r\u00e9. D\u2019autres auraient pu l\u2019ignorer, mais en tant que chef d\u2019\u00e9quipe des analystes de contenus Internet pour Kaspersky, j\u2019ai pens\u00e9 qu\u2019il y avait anguille sous roche, et j\u2019ai donc d\u00e9cid\u00e9 d\u2019y regarder de plus pr\u00e8s. Pour \u00e9chapper \u00e0 tout contr\u00f4le, ce message prenait la forme d\u2019un clip vid\u00e9o de cinq secondes, dans lequel figurait une capture d\u2019\u00e9cran montrant la vente acc\u00e9l\u00e9r\u00e9e et \u00e0 prix cass\u00e9 de deux projets de cryptomonnaies lucratifs, avec des liens vers ces projets. Probablement destin\u00e9 \u00e0 donner au destinataire un faux sentiment de s\u00e9curit\u00e9, le premier lien menait \u00e0 une v\u00e9ritable plateforme d\u2019\u00e9change de cryptomonnaies de second plan, m\u00eame si celle-ci \u00e9tait de taille modeste. Le v\u00e9ritable app\u00e2t se cachait derri\u00e8re le deuxi\u00e8me lien.<\/p>\n

\"La<\/a>

La capture d\u2019\u00e9cran de l\u2019annonce de vente des projets de cryptomonnaies est int\u00e9gr\u00e9e \u00e0 un clip vid\u00e9o de cinq secondes. Il s\u2019agit l\u00e0 d\u2019un signal d\u2019alarme\u00a0!<\/p><\/div>\n

Un dysfonctionnement pratique du serveur<\/h2>\n

Contrairement \u00e0 ce que l\u2019on pourrait supposer, cliquer sur le deuxi\u00e8me lien ne faisait pas appara\u00eetre de contenu malveillant. Les faits \u00e9taient bien plus int\u00e9ressants\u00a0: si l\u2019on pouvait s\u2019attendre \u00e0 voir appara\u00eetre une page d\u2019accueil en acc\u00e9dant \u00e0 l\u2019adresse correspondante, le navigateur affichait en r\u00e9alit\u00e9 une liste de r\u00e9pertoires racine contenant des noms de fichiers all\u00e9chants. \u00c0 premi\u00e8re vue, on pouvait penser que le serveur avait \u00e9t\u00e9 mal configur\u00e9 ou que la page d\u2019accueil avait \u00e9t\u00e9 accidentellement supprim\u00e9e, r\u00e9v\u00e9lant de ce fait toutes les donn\u00e9es du propri\u00e9taire du domaine, qui ne se doutait de rien. Il \u00e9tait possible de cliquer sur n\u2019importe quel fichier de la liste et d\u2019en afficher le contenu directement dans le navigateur car, par chance, tous les fichiers avaient des formats courants et faciles \u00e0 exploiter, comme TXT, PDF, PNG ou JPG.<\/p>\n

\"Un<\/a>

Un visiteur voit une liste de fichiers dans le dossier racine. Il n\u2019y a pas un seul fichier HTML<\/p><\/div>\n

Le visiteur du site Internet avait ainsi l\u2019impression d\u2019avoir atterri dans le dossier de donn\u00e9es personnelles d\u2019un riche mais imprudent propri\u00e9taire d\u2019un projet de cryptomonnaies quelconque. Les fichiers texte contenaient des informations relatives \u00e0 des portefeuilles, accompagn\u00e9es de phrases secr\u00e8tes, et les images \u00e9taient des captures d\u2019\u00e9cran attestant de l\u2019envoi r\u00e9ussi d\u2019un montant \u00e9lev\u00e9 de cryptomonnaies, de soldes de portefeuilles importants, et du mode de vie luxueux de leur propri\u00e9taire.<\/p>\n

\"Les<\/a>

Les fichiers texte contiennent des adresses, des identifiants, des mots de passe, des phrases secr\u00e8tes, des cl\u00e9s de r\u00e9cup\u00e9ration, des codes PIN et des cl\u00e9s priv\u00e9es soigneusement collect\u00e9s<\/p><\/div>\n

L\u2019une des captures d\u2019\u00e9cran montrait en arri\u00e8re-plan une vid\u00e9o YouTube expliquant comment acheter des yachts et des Ferrari avec des bitcoins. Un catalogue de ces yachts au format PDF pouvait facilement \u00eatre trouv\u00e9 dans le m\u00eame r\u00e9pertoire. En bref, il \u00e9tait question d\u2019un app\u00e2t vraiment all\u00e9chant.<\/p>\n

\"L'\u00e9cran<\/a>

L\u2019\u00e9cran affiche un instantan\u00e9 de la vie d\u2019un riche fain\u00e9ant. Alors, quelle est la MEILLEURE FA\u00c7ON d\u2019acheter une Ferrari et un yacht avec des bitcoins\u00a0?<\/p><\/div>\n

De vrais portefeuilles et de l\u2019argent liquide<\/h2>\n

Le point fort de cette escroquerie est que les informations des portefeuilles sont r\u00e9elles et qu\u2019il est effectivement possible d\u2019acc\u00e9der \u00e0 ces portefeuilles et de consulter, par exemple, l\u2019historique des transactions effectu\u00e9es sur Exodus ou les actifs des autres portefeuilles, valant pr\u00e8s de 150\u00a0000 dollars d\u2019apr\u00e8s DeBank.<\/p>\n

\"Le<\/a>

Le portefeuille Exodus est vide, mais il est bien r\u00e9el et quelqu\u2019un l\u2019a utilis\u00e9 tr\u00e8s r\u00e9cemment<\/p><\/div>\n

Il n\u2019est toutefois pas possible de retirer quoi que ce soit, car les fonds sont immobilis\u00e9s<\/a> ou, autrement dit, bloqu\u00e9s sur le compte. Cependant, ce stratag\u00e8me permet de faire en sorte que le visiteur soit beaucoup moins sceptique, car tout porte \u00e0 croire qu\u2019il est question d\u2019une fuite de donn\u00e9es r\u00e9elles li\u00e9e \u00e0 de la n\u00e9gligence, et non d\u2019un spam ou de phishing. Par ailleurs, aucun lien externe ni fichier malveillant n\u2019est visible, et il n\u2019y a donc pas lieu de se m\u00e9fier\u00a0!<\/p>\n

\"Les<\/a>

Les montants des autres portefeuilles sont \u00e9lev\u00e9s. Dommage que les fonds soient immobilis\u00e9s (ou bloqu\u00e9s)\u00a0!<\/p><\/div>\n

Nous avons observ\u00e9 le site Internet pendant deux mois, sans constater le moindre changement. Les escrocs semblaient attendre qu\u2019une importante communaut\u00e9 d\u2019investisseurs int\u00e9ress\u00e9s se constitue, tout en suivant leur comportement \u00e0 l\u2019aide d\u2019analyses des serveurs Internet. Ce n\u2019est qu\u2019apr\u00e8s cette longue p\u00e9riode d\u2019\u00e9chauffement qu\u2019ils sont pass\u00e9s \u00e0 l\u2019\u00e9tape suivante de l\u2019attaque.<\/p>\n

Un nouvel espoir<\/h2>\n

Ces deux mois de profond silence ont finalement pris fin avec la publication d\u2019une nouvelle capture d\u2019\u00e9cran Telegram, montrant un paiement pr\u00e9tendument r\u00e9ussi en Monero. En examinant la capture d\u2019\u00e9cran de plus pr\u00e8s, nous pouvons remarquer une application de portefeuilles \u00ab\u00a0Electrum-XMR\u00a0\u00bb avec un journal de transactions et un solde non n\u00e9gligeable de pr\u00e8s de 6 000 jetons Monero (XMR), valant environ un million de dollars au moment de la publication de la capture d\u2019\u00e9cran.<\/p>\n

\"D\u00e9but<\/a>

D\u00e9but de la phase active\u00a0: un portefeuille semblant contenir pr\u00e8s d\u2019un million de dollars<\/p><\/div>\n

Par une heureuse co\u00efncidence, un nouveau fichier texte contenant la phrase secr\u00e8te du portefeuille apparaissait juste \u00e0 c\u00f4t\u00e9 de la capture d\u2019\u00e9cran.<\/p>\n

\"La<\/a>

La phrase secr\u00e8te du portefeuille a servi d\u2019app\u00e2t<\/p><\/div>\n

\u00c0 ce stade, toute personne suffisamment malhonn\u00eate ne pouvait que se h\u00e2ter de t\u00e9l\u00e9charger un portefeuille Electrum pour pouvoir se connecter au compte de la fausse victime imprudente et mettre la main sur l\u2019argent restant. Malheureusement, Electrum ne prend en charge que le Bitcoin (et non Monero), et une cl\u00e9 priv\u00e9e (et non une phrase secr\u00e8te) est requise pour r\u00e9cup\u00e9rer l\u2019acc\u00e8s \u00e0 un compte. Lors des tentatives de restauration de la cl\u00e9 \u00e0 partir de la phrase secr\u00e8te, tous les convertisseurs l\u00e9gitimes indiquaient que le format de la phrase secr\u00e8te \u00e9tait incorrect.<\/p>\n

L\u2019app\u00e2t du gain a n\u00e9anmoins troubl\u00e9 le jugement des investisseurs : apr\u00e8s tout, un million de dollars \u00e9tait en jeu, et il \u00e9tait important de se d\u00e9p\u00eacher avant que quelqu\u2019un d\u2019autre ne vole cet argent. Les investisseurs les plus rapides ont ainsi recherch\u00e9 sur Google \u00ab\u00a0Electrum XMR\u00a0\u00bb, ou simplement \u00ab\u00a0Electrum Monero\u00a0\u00bb. Dans tous les cas, le premier r\u00e9sultat \u00e9tait un site Internet cens\u00e9 proposer une reprise logicielle d\u2019Electrum prenant en charge Monero.<\/p>\n

<\/a>

La \u00a0\u00bb\u00a0bonne\u00a0\u00a0\u00bb version du portefeuille appara\u00eet en haut des r\u00e9sultats de recherche<\/p><\/div>\n

Son design ressemblait \u00e0 celui du site Internet original d\u2019Electrum et, \u00e0 la mani\u00e8re d\u2019un site Internet open source classique, il comportait toutes sortes de descriptions, de liens vers GitHub (le stockage original d\u2019Electrum, bien s\u00fbr, et non Electrum-XMR), une remarque indiquant explicitement qu\u2019il s\u2019agissait d\u2019une reprise logicielle prenant en charge Monero, ainsi que des liens directs utiles vers des programmes d\u2019installation pour macOS, Windows et Linux.<\/p>\n

\"Le<\/a>

Le site Internet de la fausse application de portefeuilles est tr\u00e8s bien con\u00e7u<\/p><\/div>\n

C\u2019est alors qu\u2019\u00e0 son insu, le chasseur devient la proie. Le t\u00e9l\u00e9chargement et l\u2019installation d\u2019Electrum-XMR infectent l\u2019ordinateur \u00e0 l\u2019aide d\u2019un programme malveillant identifi\u00e9 par Kaspersky sous le nom de Backdoor.OLE2.RA-Based.a<\/em> et offrant aux pirates informatiques un acc\u00e8s \u00e0 distance cach\u00e9. Ensuite, les pirates informatiques analysent vraisemblablement le contenu de la machine et volent les donn\u00e9es des portefeuilles de cryptomonnaies, ainsi que toute autre information utile.<\/p>\n

Notre solution de s\u00e9curit\u00e9<\/a>\u00a0aurait bloqu\u00e9 le site Internet malveillant, sans parler d\u2019une tentative d\u2019installation d\u2019un cheval de Troie, mais parmi nos utilisateurs ne figurent pas des chasseurs de cryptomonnaies d\u00e9sireux de mettre la main sur l\u2019argent de quelqu\u2019un d\u2019autre.<\/p>\n

\"Notre<\/a>

Notre solution de s\u00e9curit\u00e9 bloque le site Internet malveillant, sans parler d\u2019une tentative d\u2019installation d\u2019un cheval de Troie<\/p><\/div>\n

Tout \u00e0 coup, une deuxi\u00e8me it\u00e9ration<\/h2>\n

Quelque temps plus tard, alors que notre enqu\u00eate sur cet exploit en mati\u00e8re d\u2019ing\u00e9nierie sociale \u00e9tait termin\u00e9e, nous avons re\u00e7u un autre app\u00e2t, ce qui ne nous a gu\u00e8re surpris. \u00c0 cette occasion, les escrocs sont pass\u00e9s d\u2019une lente cuisson \u00e0 la vapeur \u00e0 une cuisson au grill. La capture d\u2019\u00e9cran envoy\u00e9e montrait un faux portefeuille avec un solde important, accompagn\u00e9 d\u2019un fichier texte ouvert contenant une multitude d\u2019informations personnelles et un lien soigneusement ajout\u00e9 vers un site Internet malveillant. Cette escroquerie a apparemment fait ses preuves, et nous nous attendons donc \u00e0 un grand nombre d\u2019attaques similaires.<\/p>\n

\"Dans<\/a>

Dans la deuxi\u00e8me version de l\u2019escroquerie, les escrocs sont all\u00e9s droit au but en rassemblant toutes les informations pertinentes dans une seule capture d\u2019\u00e9cran<\/p><\/div>\n

Reconna\u00eetre l\u2019attaque<\/h2>\n

Les victimes de l\u2019escroquerie dont nous venons de parler ne nous inspirent aucune compassion, \u00e9tant donn\u00e9 qu\u2019elles ont mordu \u00e0 l\u2019hame\u00e7on en aspirant \u00e0 voler l\u2019argent de quelqu\u2019un d\u2019autre. Cependant, les escrocs ne cessent de trouver de nouvelles astuces et, la prochaine fois, un moyen pr\u00e9tendument \u00e9thique de gagner de l\u2019argent pourrait vous \u00eatre propos\u00e9. Par exemple, vous pourriez tomber par accident sur une capture d\u2019\u00e9cran faisant la promotion d\u2019un airdrop lucratif, le lien vers celui-ci figurant directement dans la barre d\u2019adresse\u2026<\/p>\n

Faites donc preuve de vigilance, et prenez toute information avec de grosses pincettes. Chaque \u00e9tape de l\u2019attaque \u00e9tait suspecte \u00e0 sa mani\u00e8re. L\u2019annonce de vente du site Internet prenait manifestement la forme d\u2019un clip vid\u00e9o accompagn\u00e9 d\u2019une capture d\u2019\u00e9cran afin de contourner les algorithmes anti-spam. Un site Internet qui ne contient que des fichiers texte non chiffr\u00e9s et renfermant des donn\u00e9es de portefeuilles de cryptomonnaies est trop beau pour \u00eatre vrai. Le domaine cens\u00e9 h\u00e9berger la reprise logicielle pour les portefeuilles de cryptomonnaies avait \u00e9t\u00e9 enregistr\u00e9 seulement deux mois avant l\u2019attaque. Mais surtout, le paysage des cryptomonnaies \u00e9tant truff\u00e9 d\u2019escroqueries, l\u2019utilisation d\u2019applications de portefeuilles m\u00e9connues constitue un risque inacceptable. Suivez donc les \u00e9tapes suivantes\u00a0:<\/p>\n