Dévoiler l'industrialisation des attaques de phishing dans le monde du chiffrement

Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions similaires de phishing et de vol de fonds, avec un montant impliqué de plus de 55 millions de dollars rien qu'en juin. À partir des mois d'août et septembre, les activités de phishing associées sont devenues plus fréquentes, montrant une tendance à l'aggravation. Au troisième trimestre 2024, les attaques de phishing sont devenues le moyen d'attaque causant les plus grandes pertes économiques, les attaquants ayant obtenu plus de 243 millions de dollars lors de 65 opérations. Les analyses montrent que les attaques de phishing récentes sont très probablement liées à l'équipe d'outils de phishing notoire Inferno Drainer. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais semble maintenant à nouveau active, réalisant une série d'attaques à grande échelle.

Cet article analysera les méthodes typiques utilisées par des groupes de phishing tels que Inferno Drainer et Nova Drainer, et énumérera en détail leurs caractéristiques comportementales, dans le but d'aider les utilisateurs à améliorer leur capacité à identifier et à prévenir les escroqueries de phishing.

Concept de Scam-as-a-Service

Dans le monde du chiffrement, certaines équipes de phishing ont inventé un nouveau modèle malveillant appelé Scam-as-a-Service (escroquerie en tant que service). Ce modèle regroupe des outils et des services d'escroquerie et les propose de manière commercialisée à d'autres criminels. Inferno Drainer est un exemple typique dans ce domaine, ayant escroqué plus de 80 millions de dollars entre son annonce de fermeture de service en novembre 2022 et novembre 2023.

Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites Web de phishing en front et en back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent des services conservent la majeure partie des fonds mal acquis, tandis qu'Inferno Drainer prélève une commission de 10 % à 20 %. Ce modèle réduit considérablement le seuil technique de la fraude, rendant la cybercriminalité plus efficace et évolutive, ce qui entraîne une prolifération des attaques de phishing dans le secteur du chiffrement, en particulier chez les utilisateurs manquant de sensibilisation à la sécurité, qui deviennent des cibles plus faciles.

Mécanisme de fonctionnement du Scam-as-a-Service

Avant de comprendre le SaaS, examinons d'abord le flux de travail typique d'une application décentralisée (DApp). Une DApp typique est généralement composée d'une interface frontale (comme une page Web ou une application mobile) et d'un contrat intelligent sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur signe ensuite cette transaction avec son portefeuille blockchain pour l'approuver, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctions requises.

Les attaquants par phishing conçoivent des interfaces frontales malveillantes et des contrats intelligents pour tromper habilement les utilisateurs en leur faisant exécuter des opérations non sécurisées. Les attaquants guident souvent les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent des transactions malveillantes cachées, et dans certains cas, les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.

Les méthodes de phishing courantes incluent :

1. Faux avant de projets connus : les attaquants imitent soigneusement le site officiel de projets connus, créant une interface avant qui semble légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.

2. Arnaque de distribution de jetons : Des sites de phishing sont largement promus sur les réseaux sociaux, prétendant offrir des opportunités attrayantes telles que "airdrop gratuit", "prévente anticipée", "minting gratuit d'NFT", incitant les victimes à cliquer sur des liens et à approuver des transactions malveillantes.

3. Événements de hacking faux et escroqueries aux récompenses : prétendre qu'un projet connu a subi une attaque de hackers ou un gel d'actifs, et offrir des compensations ou des récompenses aux utilisateurs, attirant ainsi les utilisateurs vers des sites de phishing par le biais de fausses urgences.

Le modèle SaaS est le principal moteur de l'augmentation des arnaques par phishing ces deux dernières années. Avant l'apparition du SaaS, les attaquants par phishing devaient préparer des fonds de démarrage sur la blockchain, créer un site web frontal et un contrat intelligent pour chaque attaque. Bien que ces sites de phishing soient souvent de mauvaise qualité, ils nécessitaient tout de même un certain niveau de compétence technique. Des fournisseurs d'outils SaaS comme Inferno Drainer ont complètement éliminé la barrière technique des arnaques par phishing, offrant aux acheteurs manquant des compétences techniques la possibilité de créer et d'héberger des sites de phishing, tout en prélevant une part des profits des arnaques.

Le retour d'Inferno Drainer et le mécanisme de partage des gains

Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord. L'équipe de sécurité a récemment concentré sa surveillance sur certaines adresses de phishing présentant un comportement anormal. Après analyse et enquête sur les transactions, nous pensons que ces transactions sont celles qu'Inferno Drainer a effectuées pour transférer des fonds et partager les gains après avoir détecté que les victimes tombaient dans le piège.

Prenons un exemple d'une transaction, le processus d'attaque est le suivant :

1. Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents, permettant de calculer à l'avance l'adresse du contrat en fonction du code binaire du contrat intelligent et d'un salt fixe.

2. Appeler le contrat créé, approuver le DAI de la victime à l'adresse de phishing (acheteur du service Inferno Drainer) et à l'adresse de partage des gains. L'attaquant guide la victime à signer involontairement un message Permit2 malveillant par divers moyens de phishing.

3. Transférer successivement 3,654 et 7,005 DAI à deux adresses de partage, et transférer 50,255 DAI à l'acheteur pour finaliser le partage.

Dans cette transaction, l'acheteur du service de pêche a emporté 82,5 % des fonds mal acquis, tandis que l'Inferno Drainer a conservé 17,5 %.

Le processus de création rapide des sites de phishing

Avec l'aide du SaaS, les attaquants peuvent facilement et rapidement créer des sites de phishing. Les étapes spécifiques sont les suivantes :

1. Rejoindre le canal TG fourni par Drainer, utiliser une commande simple pour créer un nom de domaine gratuit et l'adresse IP correspondante.

2. Sélectionnez un modèle parmi les centaines proposés par le robot, lancez le processus d'installation, et en quelques minutes, vous pourrez générer un site de phishing d'apparence réaliste.

3. Trouver des victimes. Une fois qu'une victime accède au site, croit aux informations frauduleuses sur la page et approuve une transaction malveillante en connectant son portefeuille, ses actifs seront transférés.

Le processus ne prend que quelques minutes, ce qui réduit considérablement le coût du crime.

Conseils de sécurité

Pour se prémunir contre ce type d'attaque par phishing, les utilisateurs devraient :

• Ne croyez pas à la publicité "des tartes tombent du ciel", comme les airdrops gratuits ou les compensations suspects.
• Vérifiez soigneusement l'URL du site avant de connecter votre portefeuille, restez vigilant face aux sites imitant des projets connus.
• Utilisez l'outil de recherche de domaine WHOIS pour vérifier la date d'enregistrement du site. Les sites avec une date d'enregistrement trop courte peuvent être des projets frauduleux.
• Ne soumettez pas de phrases de récupération, de clés privées ou d'autres informations privées à des sites Web ou des applications suspects.
• Avant de signer un message ou d'approuver une transaction, vérifiez attentivement s'il y a des opérations Permit ou Approve susceptibles de causer des pertes de fonds.
• Suivez les comptes officiels tels que CertiK Alert qui publient des informations d'alerte pour rester informé des dernières tendances en matière de fraude.
• Si vous avez accidentellement autorisé des jetons à une adresse de fraude, vous devez immédiatement retirer l'autorisation ou transférer les actifs restants vers une adresse sécurisée.