De faux e-mails d'exploitation de faille zero-day incitent les utilisateurs de cryptomonnaies à exécuter du code malveillant.

Une nouvelle arnaque sévit auprès des utilisateurs de cryptomonnaies, leur promettant des gains immédiats et colossaux. Elle cible les utilisateurs de swapzone.io , un site populaire permettant de trouver les meilleurs taux de change de cryptomonnaies, grâce à un code simple mais efficace qui manipule l'affichage sur leur écran.

L'équipe de recherche du laboratoire de renseignement sur les menaces de Bolster AI a récemment étudié cette puissante attaque basée sur JavaScript, notant qu'elle exploite deux traits humains communs : la cupidité et la curiosité.

Les recherches de Bolster, partagées avec Hackread.com, révèlent que les attaquants ont utilisé une double stratégie de courriel : l’envoi de messages à partir de plateformes gratuites et anonymes ou l’imitation de comptes officiels comme « Claytho Developer [email protected] .

Des experts ont confirmé que ces faux courriels étaient relayés par un service d'usurpation d'identité gratuit appelé Emkei's Mailer, et non par le système de Swapzone. Ces courriels appâtent les utilisateurs avec une « faille zero-day » ou une « astuce pour un profit garanti à 100 % ».

Pour créer un sentiment d'urgence extrême, ils affirment faussement que la faille « zero-day » sera corrigée sous un ou deux jours, forçant ainsi les utilisateurs à agir rapidement. Les chercheurs ont relevé plus de 100 messages suivant ce schéma en seulement 48 heures.

Des investigations plus poussées ont révélé que l'escroquerie était même présente sur des forums privés de cybercriminalité , notamment auprès d'un utilisateur nommé Nexarmudor. Sur darkforums.st , une plateforme du web clair et du dark web, des individus ont été surpris à tromper les membres du forum.

Les victimes sont redirigées vers un lien Google Docs malveillant accompagné d'un court guide leur demandant de coller une simple ligne de code, commençant par « javascript: », dans la barre d'adresse de leur navigateur. C'est tout ce qu'il faut pour déclencher l'attaque, car coller un tel code équivaut à exécuter un programme sur son appareil, un risque dont la plupart des utilisateurs ignorent l'existence.

Une fois exécuté, ce petit extrait de code télécharge un programme caché beaucoup plus important qui prend le contrôle de la session de navigation de la victime en trompant l'utilisateur visuellement. Il modifie immédiatement l'affichage du site web, par exemple en gonflant artificiellement les gains affichés. Un guide, intitulé « Swapzone.io – ChangeNOW Profit Method », promettait des gains environ 37 % supérieurs à la normale.

Le programme intègre également de faux éléments, comme des écrans « bloqués » par de faux comptes à rebours pour créer un sentiment d'urgence. Le plus dommageable est que, lorsque la victime tente de finaliser la transaction, le code caché redirige le paiement vers une adresse de portefeuille contrôlée par l'attaquant en copiant discrètement l'adresse du portefeuille crypto du criminel dans le presse-papiers de l'utilisateur. Les chercheurs de Bolster ont découvert un ensemble d'adresses prêtes pour différentes cryptomonnaies, ce qui démontre que l'opération criminelle est bien organisée.

Les chercheurs soulignent que, que vous soyez un utilisateur régulier de cryptomonnaies ou que vous cherchiez simplement à investir, la tentation du profit rapide peut rendre n'importe qui vulnérable. C'est pourquoi ils conseillent de ne jamais coller d'extraits de code JavaScript provenant de sources non fiables dans la barre d'adresse.

« Cette découverte a révélé comment les tactiques d’ingénierie sociale sont désormais réutilisées au sein même des espaces des acteurs malveillants, démontrant que même des individus expérimentés dans les écosystèmes clandestins sont vulnérables à la manipulation lorsque la cupidité et l’urgence sont en jeu », conclut le rapport.