Début juin, une campagne de phishing ciblé a visé les créateurs de NFTs. L'objectif ? Voler les identifiants de leurs portefeuilles de cryptomonnaie et en dérober le contenu.

« Nous vous proposons de beta-tester les nouvelles fonctionnalités dédiées aux NFT de notre éditeur de photo, et nous vous rémunérerons pour cela (en ETH) bien évidemment ». Voici le genre de message reçu par plusieurs créateurs de NFT (non-fungible tokens) en ce début de mois de juin.

Ils cachent une campagne de phishing ciblée et personnalisée, dont la finalité est d’infecter l’ordinateur des victimes avec un malware. D’après le chercheur Bart Blaze, dont le travail a été repéré par The Record Media, les cybercriminels utilisent une version de Redline, un « infostealer » découvert en mars 2020.

Comme son nom l’indique, l’infostealer permet, une fois déployé sur l’ordinateur de la victime, de voler :

  • Les noms d’utilisateurs et mots de passe stockés sur les navigateurs.
  • Des informations sur l’ordinateur et le système d’exploitation.
  • Surtout, les informations de connexion aux portefeuilles de cryptomonnaie. Généralement, elles sont enregistrées dans des extensions chrome ou des fichiers dédiés. Redline peut chercher plus de 12 types de portefeuilles différents, et couvre ainsi les services les plus utilisés sur le marché. Sinon, il peut aussi enregistrer la frappe au clavier de la victime.
Les attaques contre les députés allemands feraient partie de l’opération Ghostwriter. // Source : CCO/Flickr

Les malfrats se font passer pour des entreprises réelles, mais peu connues, ou pour de riches particuliers. Ensuite, ils démarchent les artistes sur Twitter, Instagram ou par email, pour de prétendues propositions de partenariats rémunérés, ou pour de fausses demandes de commission.

Leur objectif ? Faire télécharger puis exécuter un fichier qui embarque le malware Redline. Ils prétendent qu’il s’agit du logiciel à tester, d’une ébauche du travail demandé, ou encore d’une grille de paiement. L’artiste FVCKRENDER a par exemple été piégé par un message privé envoyé sur Twitter par l’utilisatrice « Ha Chon-Chee », une prétendue Coréenne qui travaillerait pour un collectionneur : « Mon patron veut vous acheter de l’art numérique […]  Nous avons des idées sur la peinture que nous voulons et nous avons dessiné une ébauche. Nous pouvons vous l’envoyer pour que vous voyiez quel genre de peinture nous voulons ». L’artiste s’est étonné que le fichier de l’ébauche ne l’affiche pas. Peu après, il découvrait que son portefeuille avait été vidé de 40 000 AXS (Axie Infinity, une cryptomonnaie) soit environ 137 000 euros.

Les cybercriminels veulent profiter de la popularité des NFT

Les créateurs de NFT ont des profils de victimes très intéressants pour les malfrats. Bien que récemment en « chute dramatique », les ventes de NFT se sont élevées à plus de 2 milliards de dollars au premier trimestre 2021, et forcément, certains créateurs ont les poches bien remplies. De plus, les vendeurs de ces tokens sont bien plus susceptibles que le reste de la population de détenir des cryptomonnaies en grandes quantités, de par leur intérêt pour les technologies liées à la blockchain.

Pour finir, contrairement à une fraude bancaire traditionnelle, le vidage d’un compte de cryptomonnaie ne laisse que peu de traces. Les malfaiteurs ont plus de chance de partir avec le magot sans être poursuivis par les forces de l’ordre.

Vous avez été visé par un phishing similaire ? Racontez-nous votre mésaventure à francois.manens@humanoid.fr

Le mode opératoire utilisé contre les créateurs de NFT rappelle celui employé pour piéger les Youtubeurs. Dupées par des messages détaillés et un interlocuteur particulièrement réactif, les victimes ne voient pas certains signaux d’alerte. Par exemple, dans cette campagne, les cybercriminels cachent Redline dans un fichier .SCR, le format des « screensavers » de Window. Ces fichiers prennent en charge la mise en veille des écrans de l’ordinateur. Autrement dit, il n’existe donc aucun cas de figure légitime dans lequel une entreprise ferait télécharger ce type de fichier à un partenaire.

D’autres indicateurs comme le faible nombre d’abonnés de l’interlocuteur, son absence sur d’autres réseaux sociaux ou encore le montant proposé pour le partenariat — sans signer de contrat — ont permis à certaines cibles de l’arnaque d’y échapper. Reste que les cybercriminels ont bien prévu leur attaque : le fichier contenant Redline est artificiellement grossi par des lignes de codes inutiles pour éviter les scans des antivirus. C’est une méthode assez répandue, que Cyberguerre avait déjà observée sur un malware à destination des youtubeurs.

Crédit photo de la une : Pulp Fiction

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux