Twizt, un tout nouveau botnet identifié par Check Point Research, a déjà volé près de 500 000 dollars de crypto-monnaies à des milliers de personnes, en procédant à chaque fois à un simple changement d'adresse du compte.
Il y a quelques jours, nous vous indiquions sur Clubic que les crypto-monnaies, du fait de leur démocratisation et de leur plus grande accessibilité, allaient à coup sûr faire partie des grosses tendances cyber en 2022. Et patatras ! Voilà que les spécialistes de Check Point Research nous apprennent qu'un botnet est en train de sévir en ayant déjà dérobé autour de 500 000 dollars grâce à la technique du « crypto clipping », que nous allons vous expliquer dans un instant. Twizt, c'est son nom, a déjà fait plusieurs milliers de victimes.
Un botnet qui se nourrit des ordinateurs infectés pour gagner en puissance
Le nouveau botnet identifié, Twizt, est en fait un dérivé de Phorpiex, ou Trik, connu pour ses activités de sextorsion et de crypto-jacking à grande échelle. Cette nouvelle variante se concentre exclusivement sur le vol des crypto-monnaies, directement pendant les transactions.
Comment ? En remplaçant automatiquement l'adresse du portefeuille visé par celle du cybercriminel, auteur de la menace. Pour y parvenir, les pirates informatiques utilisent un logiciel malveillant, qui procède à l'échange des adresses.
Cette technique peer-to-peer, on l'appelle le « crypto clipping ». Twizt n'a pas besoin de serveurs de commande ni de contrôle actifs pour fonctionner. Cela veut dire que chaque ordinateur infecté par le botnet vient l'élargir et le rendre encore plus impactant et stable, donc dangereux, d'autant plus qu'il échappe aux dispositifs de sécurité comme les pare-feu. « Il est plus difficile de démanteler un botnet P2P et de perturber son fonctionnement », explique Alexander Chailytko, responsable de la recherche.
1 000 transactions déjà détournées
Selon Check Point Research, Twizt est déjà parvenu à dérober près d'un demi-million de dollars de crypto-monnaie. Entre novembre 2020 et novembre 2021, pas moins de 969 transactions ont été détournées, volant 3,64 Bitcoins, 55,87 éthers et 55 000 dollars en jetons ERC20. 26 ETH (Ethereum) ont également été dérobés en une seule fois. Et ce n'est qu'un début !
À ce stade, les victimes se concentrent essentiellement en Ethiopie (19,39 %), au Nigeria (13,41 %), en Inde (12,85 %), au Guatemala (6,79 %) et aux Philippines (6,37 %). « Twizt prend en charge plus de 30 portefeuilles de crypto-monnaies de différentes blockchains, y compris les principales comme Bitcoin, Ethereum, Dash, Monero. La surface d'attaque est donc énorme et quiconque utilise des crypto-monnaies est susceptible d'être touché », ajoute Alexander Chailytko.
Pour se prémunir d'un éventuel vol, nous invitons donc tous les amateurs et utilisateurs de crypto-monnaies à vérifier les adresses des portefeuilles copiées et collées. Il faut toujours vérifier que l'adresse originale et l'adresse collée soient identiques. Tester la transaction en effectuant une première transaction d'un montant minimal peut aussi être un bon moyen de vérification. Vérifier l'URL doit aussi toujours être un réflexe, en toute circonstance.
