Les dernières escroqueries, piratages et exploits liés aux crypto-monnaies et comment les éviter : Crypto-Sec
Phish de la semaine : le compte Symbiotic X est compromis
Selon un rapport de PeckShield, le compte X du protocole de jalonnement Symbiotic a été piraté le 5 octobre. Le site officiel de l'équipe affirme que le compte est toujours compromis au 7 octobre.
Le compte compromis propose une liste de contrôle des « points » et demande aux utilisateurs de cliquer sur un lien pour vérifier le nombre de points dont ils disposent. Cependant, le lien mène à la mauvaise URL, network-symbiotic[.]fi, au lieu de la bonne, symbiotic.fi.
Message de phishing du pirate informatique Symbiotic X. Source : Symbiotic.
Lorsque les utilisateurs se connectent au faux site de phishing avec un portefeuille, ils se voient présenter une page affirmant qu'ils ont gagné des milliers de points, même s'ils n'ont jamais interagi avec le protocole Symbiotic auparavant.
La page exhorte les utilisateurs à échanger leurs points immédiatement et affirme que les points seront perdus si l'utilisateur ne clique pas sur un gros bouton vert « échanger » au milieu de l'écran.
Un faux site Symbiotic aurait été utilisé pour des attaques de phishing. Source : network-symbiotic.fi
Appuyer sur le bouton « Échanger des points » avec un portefeuille vide entraîne l’affichage d’un message d’erreur indiquant que l’utilisateur doit essayer un autre portefeuille, ce qui est un message d’erreur courant sur les sites de phishing qui demandent des signatures de message.
Si le portefeuille d’un utilisateur contient des jetons Symbiotic, le site demande probablement à l’utilisateur de signer un message, qui est ensuite utilisé pour vider les jetons de l’utilisateur. Cointelegraph n’a pas testé l’application avec un portefeuille contenant des fonds.
Depuis son site officiel, l'équipe Symbiotic avertit actuellement les utilisateurs que son X a été compromis et que les utilisateurs ne doivent pas interagir avec les sites liés au compte.
Avertissement Symbiotic concernant un compte X compromis. Source : Symbiotic.fi
Les piratages de comptes X sont devenus un problème courant dans le domaine des crypto-monnaies. Les utilisateurs devraient envisager d'ajouter à leurs favoris l'URL des applications qu'ils utilisent fréquemment, car c'est généralement un moyen plus fiable d'accéder au bon site Web que de s'appuyer sur des liens X, bien que ce ne soit pas non plus infaillible à 100 %. Les utilisateurs doivent être particulièrement prudents lorsqu'on leur demande de signer un message écrit en code, car cela est souvent, mais pas toujours, le signe d'une attaque de phishing.
Coin des logiciels malveillants : les attaquants utilisent désormais des fichiers SVG pour attirer leurs victimes
Selon un rapport de septembre de l’équipe Wolf Security de HP, les attaquants utilisent désormais des fichiers image SVG pour infecter les ordinateurs des victimes.
La nouvelle méthode permet aux pirates de prendre le contrôle de l’ordinateur d’une victime grâce à un logiciel de type cheval de Troie d’accès à distance (RAT). Une fois le logiciel installé, les pirates l’utilisent pour voler les mots de passe du site Web de la victime, les mots clés et d’autres informations personnelles. Si l’utilisateur possède des cryptomonnaies, ces informations d’identification sont ensuite utilisées dans d’autres tentatives pour accéder au portefeuille de l’utilisateur et le vider.
Les chercheurs ont découvert que le malware se faisait passer pour une archive ZIP qui se chargeait lorsque l'image était ouverte dans un navigateur. Il comportait également un fichier .pdf qui se chargeait pour distraire la victime pendant que le programme malveillant était téléchargé et installé en arrière-plan.
Selon Adobe, les fichiers Scalable Vector Graphics (SVG) stockent les images « via des formules mathématiques basées sur des points et des lignes sur une grille » au lieu de pixels. Cela signifie qu'ils peuvent être facilement redimensionnés sans perdre leur qualité. De plus, ils sont écrits en code XML, ce qui leur permet de stocker du texte à l'intérieur d'eux-mêmes.
Selon Mozilla, les fichiers SVG contiennent également un élément « script » qui permet aux développeurs d’y intégrer des programmes exécutables. C’est cette capacité de script que les développeurs de malwares auraient appris à exploiter.
Les chercheurs de HP ont découvert une image qui génère une archive ZIP lorsqu'elle est ouverte dans un navigateur. Si l'utilisateur clique sur l'archive, une fenêtre de l'Explorateur de fichiers s'ouvre et un fichier de raccourci est téléchargé.
En cliquant sur le raccourci, un faux fichier PDF se charge sur l’écran de la victime. Pendant ce temps, l’appareil commence à copier divers scripts et à les stocker dans les répertoires Musique, Photos et Démarrage de la victime. Cela permet au programme de persister dans le temps.
Fichier URL malveillant dans un fichier SVG infecté et un fichier PDF leurre destiné à distraire l'utilisateur. Source : HP Wolf Security.
Après avoir copié ces scripts sur l’appareil, il les exécute. Il en résulte qu’un certain nombre de programmes malveillants dangereux, notamment VenomRAT, AsyncRAT, Remcos et XWORM, sont installés sur l’appareil de l’utilisateur. Une fois le programme malveillant installé, l’attaquant peut prendre le contrôle total de l’ordinateur de la victime et récupérer tous les fichiers qu’il contient.
Compte tenu de ce nouveau vecteur d'attaque, les utilisateurs de crypto-monnaies doivent faire preuve de prudence lorsqu'ils interagissent avec des fichiers d'image SVG provenant de sources auxquelles ils ne font pas entièrement confiance. Lorsqu'elle est ouverte, si une image charge d'autres types de fichiers, les utilisateurs doivent envisager de rejeter ces fichiers en fermant la fenêtre du navigateur.
L'exploitation des jetons Fire illustre les risques liés aux nouveaux jetons
L’achat de nouveaux jetons dotés de fonctionnalités inédites et de contrats non vérifiés est souvent risqué, comme l’illustre ce qui est arrivé au jeton FIRE le 1er octobre.
Le pool Uniswap du jeton a été vidé de presque toute sa liquidité après qu'un attaquant a exploité le contrat du jeton pour le vendre à plusieurs reprises à un prix de plus en plus élevé à chaque fois.
Après l'exploit, l'équipe du jeton a immédiatement supprimé ses comptes sociaux et a disparu, ce qui implique que le projet était peut-être une arnaque de type « rug pull » ou « exit scam » dès le départ.
Le jeton n'a pas été négocié depuis le 2 octobre, ce qui implique qu'il pourrait y avoir si peu de liquidité que la vente pourrait être impossible.
L’idée présentée aux investisseurs de FIRE était simple. Selon son site Web, il s’agissait d’un « jeton ultra-hyper-déflationniste ». Chaque fois que les détenteurs vendaient leur FIRE dans le pool de liquidités Uniswap du jeton, il était automatiquement envoyé à une adresse de brûlage. Cela entraînait une diminution de l’offre du jeton, faisant grimper la valeur du FIRE détenu par ceux qui ne le vendaient pas.
Site Internet sur les jetons Fire. Source : Fire.
Le jeton a été lancé à 8h00 UTC le 1er octobre. Environ 90 secondes après le lancement, un compte se terminant par 1e2e a drainé environ 22 000 $ d'Ether (ETH) du pool de liquidités du jeton.
Pour ce faire, il a d'abord contracté un prêt éclair de 20 ETH auprès de la plateforme de prêt Spark Protocol. Il a ensuite créé un contrat malveillant qui a échangé l'ETH contre du FIRE, puis l'a rééchangé, détruisant ainsi le FIRE nouvellement acquis et augmentant son prix.
Ce processus a été répété au cours de 122 transferts via 16 contrats intelligents différents, chaque transfert faisant partie d'une seule transaction. Chaque fois que FIRE a été échangé contre ETH, un montant d'ETH légèrement supérieur a été reçu en retour par rapport à ce qui avait été dépensé pour l'acquérir. En conséquence, l'attaquant a pu vider le pool d'environ 22 000 $ d'ETH. De plus, cette transaction a détruit 230 jetons FIRE.
L'attaque a été répétée encore et encore, la dernière transaction d'exploitation ayant eu lieu le 2 octobre à 1h14 du matin.
La plateforme de sécurité blockchain TenArmor a signalé l'attaque sur X. « Notre système a détecté que le jeton#FIRE@Fire_TokenEth sur#ETHa été attaqué, entraînant une perte d'environ 22,3 000 $ », indique le message.
Source : TenArmor.
Selon les données de prix de la plateforme de trading Apespace, le prix initial de FIRE a été fixé à environ 33 ETH (81 543 $ aux prix actuels) ou environ 8 $ pour 0,0001 FIRE. Au moment de l'exploit, le prix de FIRE a grimpé en flèche, passant à 30 milliards d'ETH par pièce, soit 244,6 milliards de dollars pour 0,0001 FIRE. Il est ensuite tombé à 4,7 milliards d'ETH par pièce au cours des deux minutes suivantes.
Notez qu’au moment où ces prix élevés ont été atteints, il restait nettement moins d’une pièce FIRE en circulation, car la majeure partie de l’approvisionnement du jeton avait été détruite lors de l’exploit.
Graphique d'une minute de FIRE montrant l'exploit à environ 8h13. Source : Apespace.
Après l’exploit, l’équipe FIRE a supprimé ses comptes X et Telegram, ce qui suggère que l’attaquant pourrait avoir été affilié à l’équipe. La page Apespace du jeton comporte également un avertissement indiquant que le contrat FIRE contient une fonction de « liste noire » permettant aux développeurs de mettre sur liste noire le compte de n’importe quel utilisateur et de l’empêcher de vendre le jeton. Les développeurs ont peut-être utilisé cette fonction de liste noire pour s’autoriser uniquement à vendre.
Les utilisateurs doivent faire preuve de prudence lorsqu’ils interagissent avec des jetons dotés de nouvelles fonctionnalités qui peuvent ne pas être entièrement comprises par la plupart des utilisateurs.
Dans ce cas, les développeurs ont explicitement déclaré que quiconque vend dans le pool détruit des jetons, réduisant ainsi leur offre. Cependant, certains utilisateurs n'ont peut-être pas réalisé que cela permet à un seul trader d'effectuer des échanges répétés dans et hors du jeton pour augmenter artificiellement son prix et drainer sa liquidité.
Magazine : Arrestation suspecte d'un journaliste spécialisé dans les arnaques aux cryptomonnaies et du Premier ministre japonais pro-cryptomonnaies : Asia Express