Une campagne malveillante qui ciblait les utilisateurs de cryptomonnaies avec de faux sites web Coinbase a été révélée par la société de cybersécurité Group-IB. Voici ce que l’on sait à son sujet.

Inferno Drainer est une nouvelle escroquerie sophistiquée qui, comme son nom l’indique, est capable de drainer tous les fonds trouvés dans les portefeuilles de cryptomonnaie des gens, y compris les jetons fongibles et non fongibles (NFT).

Elle utilise des pages d'hameçonnage de haute qualité pour inciter les utilisateurs à connecter leurs portefeuilles de cryptomonnaies aux serveurs des attaquants. Ceux-ci usurpaient ensuite les protocoles Web3 pour autoriser les transactions frauduleuses. Les protocoles Web3 sont des interfaces qui permettent aux utilisateurs d'interagir avec des applications décentralisées (DApps) sur la blockchain.

Lire également – Suspecté d’arnaque, il demande au FBI de lui rendre ses cryptomonnaies saisies

Qui est à l’origine de cette nouvelle campagne malveillante ?

L'escroquerie était le fait d'un groupe de cybercriminels qui proposaient leurs logiciels malveillants comme service à d'autres affiliés, qui pouvaient soit héberger leurs propres sites d'hameçonnage, soit utiliser le service d'hébergement du groupe moyennant paiement. Le groupe a créé plus de 16 000 domaines uniques imitant plus de 100 plateformes, telles que Coinbase, Metamask, Uniswap et Binance.

Le Group-IB a analysé 500 de ces domaines et a découvert qu'ils contenaient un draineur basé sur JavaScript qui était initialement hébergé sur un dépôt GitHub (kuzdaz.github[.]io/seaport/seaport.js) avant d'être intégré directement sur les sites web. L'utilisateur “kuzdaz” n'existe plus sur GitHub. 350 autres domaines contenaient un script similaire, “coinbase-wallet-sdk.js”, sur un autre dépôt GitHub, “kasrlorcian.github[.]io”.

Le groupe a ensuite diffusé ses liens de phishing sur des plateformes telles que Discord et X (anciennement Twitter), où il a attiré les utilisateurs en leur promettant des jetons gratuits (appelés “airdrops”) et en leur demandant de connecter leur portefeuille. Une fois que les utilisateurs l'avaient fait, le vidangeur usurpait les protocoles Web3 tels que Seaport, WalletConnect et Coinbase, et exécutait des transactions non autorisées qui vidaient les fonds des utilisateurs.

Au lieu de recevoir l'airdrop, une fois que les victimes connectaient leurs portefeuilles et approuvé les transactions, le draineur retirait simplement tous les fonds des comptes et, étant donné la nature de la blockchain, les fonds étaient perdus pour de bon.

Le malware rapporte des millions d’euros aux pirates

Selon Viacheslav Shevchenko, analyste chez Group-IB, le groupe a également tenté de dissimuler ses activités malveillantes en empêchant les utilisateurs de visualiser le code source du site web à l'aide de touches de raccourci ou en cliquant avec le bouton droit de la souris.

La campagne Inferno Drainer n'est pas la seule du genre. Au début du mois, le compte X de Mandiant, propriété de Google, a été piraté et utilisé pour distribuer des liens vers une page de phishing qui hébergeait un draineur de cryptomonnaie appelé CLINKSINK.

Le Group-IB a déclaré à The Hacker News qu'il s'attendait à ce que le modèle “X en tant que service” continue de prospérer, car il offre aux cybercriminels un moyen facile et lucratif de lancer leurs escroqueries. Ils ont également averti que les comptes officiels pourraient être ciblés plus fréquemment, car ils peuvent donner de la crédibilité aux liens d'hameçonnage et rendre les utilisateurs plus enclins à cliquer dessus.

Cette campagne aurait été active pendant un an, entre 2022 et 2023, et a vraisemblablement réussi à dérober plus de 87 millions de dollars à plus de 137 000 victimes. C’est donc une petite partie des 2 milliards de dollars qui ont été volés en 2023. Inferno Drainer aurait été fermé en novembre 2023, mais le panneau d'utilisateur était toujours actif à la mi-janvier de cette année.

En outre, le Group-IB a déclaré que le succès d'Inferno Drainer pourrait inspirer le développement de nouveaux malwares de ce type et l'augmentation des sites web contenant des scripts malveillants qui usurpent les protocoles Web3. Il a aussi prédit que 2024 pourrait devenir “l'année du draineur”.