Démystifier l'industrialisation des attaques de phishing dans le monde du chiffrement

Depuis juin 2024, une série d'incidents de phishing similaires a attiré l'attention des experts en sécurité. Rien qu'au mois de juin, les pertes causées par les attaques connexes ont dépassé 55 millions de dollars. Avec le temps, ces attaques se sont intensifiées, devenant particulièrement fréquentes en août et septembre. Au troisième trimestre 2024, le phishing est devenu le moyen d'attaque causant les plus grandes pertes économiques, avec 65 actions d'attaque ayant causé plus de 243 millions de dollars de pertes. Les analyses montrent que ces attaques sont très probablement liées à l'équipe d'outils de phishing notoire Inferno Drainer. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais il semble qu'elle soit de retour, lançant une série d'attaques à grande échelle.

Cet article analysera en profondeur les méthodes typiques utilisées par les groupes de phishing tels qu'Inferno Drainer et Nova Drainer, en détaillant leurs caractéristiques comportementales, afin d'aider les utilisateurs à améliorer leur capacité à identifier et à se prémunir contre les escroqueries de phishing.

L'émergence du Scam-as-a-Service

Dans le monde des cryptomonnaies, un nouveau type de modèle commercial malveillant émerge, appelé Scam-as-a-Service (escroquerie en tant que service). Ce modèle regroupe des outils et services d'escroquerie, les offrant de manière commercialisée à d'autres criminels. Inferno Drainer est l'équipe représentative de ce domaine, ayant escroqué plus de 80 millions de dollars entre novembre 2022 et novembre 2023.

Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing clés en main, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent des services peuvent conserver la majeure partie des fonds volés, tandis qu'Inferno Drainer prélève une commission de 10 % à 20 %. Ce modèle abaisse considérablement le seuil technique de la fraude, rendant le cybercrime plus efficace et à plus grande échelle, ce qui entraîne une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier pour les utilisateurs manquant de sensibilisation à la sécurité, qui deviennent plus facilement des cibles d'attaque.

Mécanisme de fonctionnement de Scam-as-a-Service

Pour comprendre le fonctionnement du Scam-as-a-Service, commençons par examiner le flux de travail typique d'une application décentralisée (DApp). Une DApp typique se compose généralement d'une interface frontale (comme une page Web ou une application mobile) et de contrats intelligents sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère des transactions blockchain correspondantes et les envoie au portefeuille de l'utilisateur. L'utilisateur signe ensuite la transaction avec son portefeuille blockchain pour l'approuver, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctionnalités requises.

Les attaquants de phishing incitent habilement les utilisateurs à exécuter des opérations non sécurisées en concevant une interface frontale malveillante et des contrats intelligents. Ils guident souvent les utilisateurs à cliquer sur des liens ou des boutons malveillants, trompant ainsi les utilisateurs pour approuver des transactions malveillantes cachées, et dans certains cas, incitant directement les utilisateurs à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.

Les méthodes de phishing courantes incluent :

1. Faux front-end de projets connus : les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontale apparemment légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.

2. Arnaque de largage de jetons : Les attaquants font la promotion sur les réseaux sociaux d'opportunités très attrayantes telles que "largage gratuit", "prévente anticipée", "minting gratuit de NFT", incitant les victimes à cliquer sur des liens et à connecter leur portefeuille.

3. Événements de piratage fictifs et arnaques aux récompenses : des criminels prétendent qu'un projet connu a été victime d'une attaque de hacker ou d'un gel d'actifs, et qu'ils distribuent des compensations ou des récompenses aux utilisateurs, afin d'attirer les utilisateurs vers des sites de phishing.

Le modèle Scam-as-a-Service a considérablement réduit le seuil technique des escroqueries par hameçonnage. Auparavant, les attaquants devaient préparer des fonds de démarrage sur la chaîne, créer des sites web frontaux et des contrats intelligents pour chaque attaque. Bien que la plupart des sites de phishing soient de mauvaise qualité, l'exploitation et la conception des pages nécessitaient tout de même certaines compétences techniques. Des fournisseurs d'outils Scam-as-a-Service comme Inferno Drainer ont complètement éliminé ces obstacles techniques, offrant aux acheteurs manquant des compétences nécessaires des services pour créer et héberger des sites de phishing, tout en prélevant une part des profits des escroqueries.

Le retour d'Inferno Drainer et le mécanisme de partage des butins

Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord. Une des principales adresses de phishing qu'ils ont utilisées est 0x0000db5c8b030ae20308ac975898e09741e70000.

En analysant les transactions de cette adresse, nous pouvons comprendre le mécanisme de partage des gains d'Inferno Drainer :

1. Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents. Elle permet de calculer à l'avance l'adresse du contrat en fonction du code byte du contrat intelligent et d'un salt fixe. Inferno Drainer utilise cette caractéristique pour pré-calculer l'adresse du contrat de partage pour les acheteurs de services de phishing, puis crée le contrat une fois que la victime est piégée, complétant ainsi le transfert de jetons et l'opération de partage.

2. Appeler le contrat créé, approuver les jetons de la victime à l'adresse de phishing (acheteur du service Inferno Drainer) et à l'adresse de partage des gains. L'attaquant, par divers moyens de phishing, a conduit la victime à signer sans le vouloir un message malveillant Permit2. Permit2 permet aux utilisateurs d'autoriser le transfert de jetons par signature, sans avoir besoin d'interagir directement avec le portefeuille.

3. Transférer les jetons en proportion correspondante à l'adresse de partage et à l'acheteur, pour compléter le partage. Dans un cas concret, l'acheteur a reçu 82,5 % du butin, tandis qu'Inferno Drainer a conservé 17,5 %.

Il est à noter que l'Inferno Drainer peut contourner certaines fonctionnalités anti-phishing des portefeuilles dans une certaine mesure en créant des contrats avant de partager le butin, réduisant ainsi la méfiance des victimes. En effet, lorsque la victime approuve une transaction malveillante, le contrat n'a même pas encore été créé, ce qui rend impossible l'analyse et l'enquête sur cette adresse.

Étapes simples pour créer un site de phishing

Avec l'aide du Scam-as-a-Service, il est devenu extrêmement simple pour les attaquants de créer des sites de phishing :

1. Entrez dans le canal Telegram fourni par Drainer, et utilisez une simple commande pour créer un nom de domaine gratuit et l'adresse IP correspondante.

2. Choisissez un modèle parmi les centaines proposés par le robot, et en quelques minutes, vous pourrez générer un site de phishing qui semble professionnel.

3. Trouver des victimes. Une fois qu'une personne accède au site et connecte son portefeuille pour approuver une transaction malveillante, les actifs de la victime sont transférés.

Le processus ne prend que quelques minutes, ce qui réduit considérablement le coût de la criminalité et les barrières techniques.

Résumé et conseils de prévention

Le retour de l'Inferno Drainer représente un énorme risque de sécurité pour les utilisateurs de chiffrement. Les utilisateurs doivent rester vigilants lorsqu'ils participent à des transactions de chiffrement et garder à l'esprit les points suivants :

• Ne croyez pas à toute publicité du type "un gâteau qui tombe du ciel", comme des airdrops gratuits ou des compensations douteuses, faites confiance uniquement aux sites officiels ou aux projets ayant bénéficié d'un audit professionnel.
• Vérifiez attentivement l'URL avant de connecter votre portefeuille, méfiez-vous des sites imitant des projets connus. Vous pouvez utiliser des outils de recherche de domaine WHOIS pour vérifier la date d'enregistrement du site, un site enregistré depuis peu est très probablement un projet frauduleux.
• Ne soumettez pas vos mots de passe, clés privées à des sites ou applications suspects. Avant que le portefeuille ne demande de signer des messages ou d'approuver des transactions, vérifiez attentivement si des opérations telles que Permit ou Approve, qui pourraient entraîner une perte de fonds, sont impliquées.
• Restez attentif aux informations d'alerte de sécurité. Si vous découvrez que vous avez accidentellement autorisé des jetons à une adresse de fraude, révoquez rapidement l'autorisation ou transférez les actifs restants vers une autre adresse sécurisée.

En augmentant la sensibilisation à la sécurité et en prenant les mesures préventives nécessaires, les utilisateurs peuvent mieux se protéger contre les attaques de phishing de plus en plus complexes.