Mauvaise nouvelle pour ceux qui détiennent des crypto-actifs: les crypto-drainers, ces programmes malveillants qui siphonnent les portefeuilles de crypto-monnaies, viennent d’enregistrer une trop bonne année. Selon le décompte du spécialiste de la détection d’arnaques crypto Scam sniffer, ce genre de malware a volé à 320 000 utilisateurs l’équivalent d’environ 300 millions de dollars en 2023.
Un type de criminalité en forte progression, note l’entreprise, qui pêche à la fois en gros et à la ligne: treize portefeuilles bien garnis ont totalisé l’an passé environ 50 millions de dollars de vol. Ce genre de service criminel pose “des défis importants” au secteur des crypto-actifs, a également remarqué l’entreprise de cybersécurité CheckPoint.
Comme le rappelle l’échangeur Binance, les crypto-drainers sont basés sur le hameçonnage. Il s’agit, en usurpant des identités ou en trompant ses cibles, d’inciter à signer un contrat intelligent ou une transaction crypto avec sa clé privée. Cette transaction permet ensuite au programme malveillant de voler les fonds présents sur le portefeuille de la victime.
La razzia d’Inferno Drainer
Selon Scam sniffer, le crypto-drainer le plus prolifique en 2023 a été Inferno Drainer. Repéré à partir de novembre 2022, ce service cybercriminel d’arnaque à la demande – “scam-as-a-service” en anglais – aurait ainsi réussi à voler 81 millions de dollars de crypto. Cette campagne malveillante, qui a duré environ un an, vient d’être décortiquée par Group-IB.
Les chercheurs de l’entreprise de cybersécurité d’origine russe ont retrouvé la patte de ce service, qui visait plus de 100 crypto-actifs différents, sur plus de 16 000 domaines. Adossés assez classiquement à une chaîne sur la messagerie Telegram, les développeurs d’Inferno Drainer fournissaient à leurs clients le programme malveillant et des sites d’hameçonnage contre 20% des cryptos volées.
Ces sites de phishing hébergeaient des scripts malveillants relatifs à des protocoles web décentralisés populaires (Seaport, WalletConnect ou Coinbase). Les victimes étaient ensuite invitées à scanner un QR code initialisant la transaction malveillante. Les concepteurs de ces sites de hameçonnage avaient également fait en sorte d’empêcher l’ouverture du code source de la page avec les raccourcis clavier ou le clic droit de la souris, une façon de cacher les scripts malveillants aux victimes.
Vigilance accrue
L’opération malveillante était toutefois ajournée pour les portefeuilles hébergeant moins de 100 dollars de crypto-actifs. Une manière, estime Group-IB, de tromper les victimes plus prudentes. Comme le rappelle l’entreprise de cybersécurité, les utilisateurs les plus méfiants peuvent d’abord connecter un portefeuille contenant peu de cryptos pour vérifier si le site est bien légitime.
Si les cybercriminels d’Inferno Drainer ont annoncé arrêter leurs activités, le service est encore actif grâce à un hébergement sur un nouveau domaine. C’est visiblement, estime Group-IB, une façon de permettre à leurs clients de clôturer leurs comptes. Il est de toute façon probable que de nouveaux services criminels viendront prendre la relève au vu de la demande. Il est notamment conseillé d’être très vigilant, de vérifier la légitimité des contrats intelligents avant d’interagir avec eux et d’utiliser des portefeuilles matériels pour une sécurité renforcée.