Les analystes de chez ScamSniffer ont découvert qu'un logiciel malveillant dénommé MS Drainer avait permis à de nombreux pirates de voler plus de 59 millions de dollars auprès de 63 210 victimes en neuf mois seulement.
La prévention autour des techniques d'hameçonnage a fait son chemin auprès du grand public, mais les pirates rivalisent d'inventivité pour tromper la vigilance des plus fragiles et même des plus attentifs. Du faux site au logiciel malveillant caché dans une publicité ou un lien a priori sans danger, tout est bon pour obtenir informations et argent. Et, parmi les victimes les plus recherchées : les possesseurs de portefeuilles numériques composés de diverses cryptomonnaies.
Près de 60 millions de dollars volés en moins d'un an
De nombreuses sociétés d'analyses traquent sans relâche les activités de piratage et les diverses arnaques mises en place par les pirates pour voler de l'argent et des données. C'est ainsi que ScamSniffer a découvert que, depuis le mois de mars, un malware dénommé MS Drainer avait été caché au sein de plus de 10 000 sites de phishing et les publicités liées. Conçu pour drainer les fonds présents sur les portefeuilles de cyrptomonnaies, MS Drainer aurait permis aux pirates de voler plus de 59 millions de dollars auprès de 63 210 personnes depuis le mois de mars.
En remontant la piste de ce malware, les analystes ont découvert qu'il était vendu pour environ 1500 dollars par un certain « Pakulichev » ou « PhishLab ». Ce dernier prend une commission de 20 % sur chaque butin, et propose des modules supplémentaires dont les prix varient de 500 à 1000 dollars en fonctions des besoins. L'étude des activités des blockchains liées à MS Drainer montre également que la plus grosse victime a perdu 24 millions de dollars en Ethereum, et que d'autres « gros coups » ont permis de siphonner de 440 000 à 1,2 million.
Le phishing, c'est quoi déjà ?
Le phishing est une technique d'ingénierie sociale couramment utilisée par les attaquants pour inciter les gens à divulguer des informations sensibles ou à installer des logiciels malveillants.
MS Drainer : le diable se cache dans les pubs
Vous le savez si vous nous lisez régulièrement, les pirates sont très inventifs, que ce soit pour réussir à s'introduire sur un serveur, créer de faux mails ou cacher des malwares dans des publicités ou sur des sites plus vrais que nature. Dans la plupart des cas, un pirate conçoit et améliore un programme, qu'il vend ou met à disposition d'autres pirates.
Cela donne naissance à de vraies communautés cybercriminelles qu'il est parfois très difficile à démanteler. Dans le cas de MS Drainer, le malware est caché dans une variété de publicités mises en avant sur Google grâce à des abus du système d'achat de campagnes publicitaires. Les victimes sont notamment passées par une recherche Google incluant des mots clés tels que Zapper, Lido, Stargate, Defillama ou Orbiter Finance.
Ces faux liens apparaissent en tête de page avec une URL semblant être officielle, mais, une fois qu'on clique dessus, on arrive sur le site de phishing et le piège se referme. Sur X (ex-Twitter), la situation est encore plus problématique puisque ScamSniffer rapporte que six des neuf publicités de phishing présentes étaient liées à MS Drainer, et que la plupart des publicités étaient publiées à partir de comptes légitimes probablement piratés et dotés du fameux badge bleu d'abonné. Pire encore, les publicités seraient programmées pour ne cibler que certaines régions du monde, renvoyant les autres vers les vrais sites, inoffensifs.
Source : BleepingComputer
