La société de cybersécurité Kaspersky a découvert une escroquerie unique ciblant les voleurs de crypto. Le schéma attire les opportunistes potentiels avec des portefeuilles crypto apparemment chargés, seulement pour siphonner leurs fonds lorsqu’ils tentent d’accéder à l’appât. Cette ruse inventive démontre la sophistication croissante des cybercriminels dans l'espace des actifs numériques.
Selon Kaspersky, les principaux escrocs se font passer pour des utilisateurs de crypto naïfs en partageant publiquement des phrases de récupération, les clés nécessaires pour accéder aux portefeuilles crypto, dans des commentaires YouTube. Ces commentaires, postés par des comptes nouvellement créés, incluent souvent un appel à l'aide pour transférer des fonds d'un portefeuille supposément contenant des actifs significatifs.
« Les escrocs ont inventé un nouveau stratagème… Ils publient des phrases de récupération de portefeuilles crypto dans des commentaires YouTube en utilisant des comptes nouvellement créés », a détaillé l'analyste de Kaspersky, Mikhail Sytnik, dans un récent article de blog.
Il n'y a pas d'honneur parmi les voleurs – Comment fonctionne l'escroquerie à la clé privée
Un portefeuille observé par Kaspersky contenait environ 8 000 $ en USDT sur le réseau Tron. Pour accéder à ces fonds, un voleur devrait d'abord envoyer des TRX, le jeton natif de la blockchain, pour couvrir les frais de réseau.
Transactions frauduleuses : Source – Réseau Tron
Le schéma cible principalement les individus cherchant à exploiter l’erreur supposément « stupide » des autres. Une fois à l’intérieur du portefeuille appât, ces voleurs numériques le trouvent rempli d'USDT, un jeton TRC20 lié au dollar américain.
Puisque le portefeuille manque de TRX suffisant pour les retraits, ils sont invités à envoyer des fonds depuis leurs propres portefeuilles. Cette action déclenche le « siphon », détournant le TRX vers l'adresse de l'escroc.
Transactions frauduleuses : Source – Réseau Tron
Les escrocs ont truqué le système, et dès que les TRX sont envoyés, ils sont immédiatement redirigés vers un portefeuille séparé contrôlé par les attaquants, laissant le voleur les mains vides.
L'analyse de Kaspersky a comparé les escrocs à des Robin des Bois numériques, ciblant des acteurs peu éthiques dans l'espace crypto. Cependant, les victimes finales restent celles qui laissent leur avidité l'emporter sur leur prudence.
La société de sécurité exhorte les utilisateurs de crypto à faire preuve de prudence face à l'utilisation répétée de phrases de récupération identiques dans plusieurs commentaires. Cela pourrait être une opération bien planifiée et coordonnée pour voler leurs actifs.
Campagnes d'escroquerie ciblant les utilisateurs de crypto
Les découvertes de Kaspersky vont au-delà des escroqueries liées aux phrases de récupération. En août, l'équipe mondiale de réponse aux urgences (GERT) de la société a identifié une campagne de fraude plus large visant les utilisateurs de Windows et macOS dans le monde entier.
Cette opération utilise des sites web faux raffinés pour imiter des services légitimes, tels que des plateformes crypto, des jeux de rôle en ligne et des outils d'IA. Ces imitations sophistiquées sont conçues pour attirer les victimes à partager des informations sensibles ou à télécharger des logiciels malveillants.
« La corrélation entre les différentes parties de cette campagne et leur infrastructure partagée suggère une opération bien organisée, possiblement liée à un seul acteur ou groupe ayant des motifs financiers spécifiques », a déclaré Ayman Shaaban, responsable de la réponse aux incidents chez Kaspersky GERT.
Baptisée « Tusk », l'enquête de Kaspersky a révélé que la campagne comprend diverses sous-opérations ciblant des sujets liés à la crypto, aux jeux et à l'IA. L'infrastructure malveillante s'étend également à 16 autres thèmes, soit des sous-campagnes retirées, soit de nouvelles à lancer.
Des chaînes de code malveillant découvertes lors de l'enquête montraient une communication entre les serveurs des attaquants en russe, avec des références au terme « Mammouth » (« Мамонт »), argot pour « victime » parmi les acteurs de menace russophones. Cet indice linguistique a contribué au nom de la campagne.
La campagne Tusk utilise des malwares d'extraction d'informations tels que Danabot et Stealc, ainsi que des clippers surveillant le presse-papiers, dont certains sont des variantes open-source écrites en Go. Les extracteurs d'informations extraient des identifiants, des détails de portefeuilles et d'autres informations sensibles, tandis que les clippers interceptent les adresses de portefeuilles de crypto-monnaies copiées dans les presse-papiers, les remplaçant par des adresses malveillantes contrôlées par les attaquants.
De Zéro à Web3 Pro : Votre plan de lancement de carrière de 90 jours