La société de cybersécurité Kaspersky a mis au jour une escroquerie inédite ciblant les voleurs de cryptomonnaies. Le stratagème consiste à appâter les victimes potentielles avec des portefeuilles de cryptomonnaies apparemment bien approvisionnés, afin de siphonner leurs fonds lorsqu'elles tentent d'accéder à l'appât. Cette technique ingénieuse témoigne de la sophistication croissante des cybercriminels dans le secteur des actifs numériques.
D'après Kaspersky, les escrocs les plus notoires se font passer pour des utilisateurs de cryptomonnaies novices en partageant publiquement leurs phrases de récupération, les clés nécessaires pour accéder à leurs portefeuilles, dans les commentaires YouTube. Ces commentaires, publiés par des comptes récemment créés, contiennent souvent une demande d'aide pour transférer des fonds depuis un portefeuille censé contenir d'importants actifs.
« Les escrocs ont inventé une nouvelle astuce… Ils publient des phrases de récupération de portefeuilles crypto dans les commentaires YouTube en utilisant des comptes nouvellement créés », a détaillé l’analyste de Kaspersky, Mikhail Sytnik, dans un récent article de blog.
Il n'y a pas d'honneur chez les voleurs : comment fonctionne l'arnaque à la clé privée
Un portefeuille observé par Kaspersky contenait environ 8 000 $ en USDT sur le réseau Tron . Pour accéder à ces fonds, un voleur devrait d'abord envoyer des TRX, le jeton natif de la blockchain, afin de couvrir les frais de réseau.
Cette arnaque cible principalement les individus cherchant à exploiter les erreurs supposées, voire « bêtes », d'autrui. Une fois le portefeuille piégé ouvert, ces escrocs le trouvent rempli d'USDT, un jeton TRC20 indexé sur le dollar américain.
Comme le portefeuille ne contient pas suffisamment de TRX pour effectuer des retraits, les utilisateurs sont invités à envoyer des fonds depuis leur propre portefeuille. Cette action déclenche un « siphon », détournant les TRX vers l'adresse de l'escroc.
Les escrocs ont piégé le système, et dès que les TRX sont envoyés, ils sont immédiatement redirigés vers un portefeuille distinct contrôlé par les pirates, laissant le voleur les mains vides.
L'analyse de Kaspersky compare ces escrocs à des Robin des Bois numériques, ciblant les acteurs peu scrupuleux du secteur des cryptomonnaies. Cependant, les victimes ultimes restent ceux qui laissent leur cupidité l'emporter sur la prudence.
La société de sécurité met en garde les utilisateurs de cryptomonnaies contre l'utilisation répétée de phrases de récupérationdentdans plusieurs commentaires. Il pourrait s'agir d'une opération bien planifiée et coordonnée visant à voler leurs actifs.
Campagnes d'escroquerie ciblant les utilisateurs de cryptomonnaies
Les découvertes de Kaspersky ne se limitent pas aux arnaques par phrase de récupération. En août, l'équipe mondiale d'intervention d'urgence (GERT) de l'entreprise adentune campagne de fraude de plus grande envergure visant les utilisateurs de Windows et macOS dans le monde entier.
Cette opération utilise de faux sites web sophistiqués pour imiter des services légitimes, tels que des plateformes de cryptomonnaies, des jeux de rôle en ligne et des outils d'intelligence artificielle. Ces imitations élaborées sont conçues pour inciter les victimes à partager des informations sensibles ou à télécharger des logiciels malveillants.
« La corrélation entre les différentes parties de cette campagne et leur infrastructure commune suggère une opération bien organisée, possiblement liée à un seul acteur ou groupe ayant des motivations financières spécifiques », a déclaré Ayman Shaaban, responsable de la réponse auxdent chez GERT de Kaspersky.
de Kaspersky l’enquête que cette campagne comprend plusieurs sous-opérations ciblant les cryptomonnaies, les jeux vidéo et l’intelligence artificielle. L’infrastructure malveillante s’étend également à 16 autres thèmes, qu’il s’agisse de sous-campagnes abandonnées ou de nouvelles en cours de lancement.
Les lignes de code malveillant découvertes lors de l'enquête ont révélé des communications entre les serveurs des attaquants en russe, avec des références au terme « Mammoth » (« Мамонт »), un terme argotique désignant une « victime » parmi les cybercriminels russophones. Cet indice linguistique a contribué au nom de la campagne.
La campagne Tusk utilise des logiciels malveillants voleurs d'informations tels que Danabot et Stealc, ainsi que des programmes de surveillance du presse-papiers, dont certains sont des variantes open source écrites en Go. Les voleurs d'informations extraient lestraclesdentdétails des portefeuilles et d'autres informations sensibles, tandis que les programmes de surveillance interceptent les adresses des portefeuilles de cryptomonnaies copiées dans le presse-papiers, les remplaçant par malveillantes contrôlées par les attaquants.
