L'évolution des techniques d'hameçonnage : ce que vous devez savoir sur les attaques Drainer
TechFlow SélectionTechFlow Sélection
L'évolution des techniques d'hameçonnage : ce que vous devez savoir sur les attaques Drainer
Attention ! Les arnaques de type « Drainer » montent d'un cran.
Dédié à des analyses Web3 approfondiesRédaction : BlockSec
Drainer : une montée en puissance des techniques d'hameçonnage, cinq projets populaires devenus nouvelles cibles
Ces derniers temps, un nombre croissant de pirates informatiques utilisent des kits Drainer pour mener des attaques d'hameçonnage dans l'écosystème Web3. Ils exploitent des sites frauduleux qui incitent automatiquement les utilisateurs à connecter leur portefeuille, récupèrent ainsi des informations sur les jetons de valeur qu'ils contiennent, puis génèrent des transactions malveillantes. Initialement, les pirates diffusaient directement ces sites via les plateformes de médias sociaux. Toutefois, avec la vigilance accrue des utilisateurs Web3, cette méthode classique est devenue moins efficace. Les hackers ont donc changé de stratégie : ils profitent désormais du trafic et de la confiance associés à des plateformes populaires pour diffuser massivement leurs liens malveillants. En prenant pour cible des serveurs Discord, des comptes Twitter, des sites web officiels, des chaînes logicielles (software supply chain) ou encore des bases de données e-mail, ils ont réussi à causer de lourdes pertes financières à de nombreux utilisateurs.
Afin de mieux comprendre les stratégies employées par ces pirates, nous avons résumé ci-dessous plusieurs incidents récents liés aux outils Drainer :
Attaque de serveurs Discord
Le 31 mai 2023, le serveur Discord de Pika Protocol a été piraté. Pink Drainer a diffusé un site d'hameçonnage au sein du groupe Discord officiel, contenant un fragment de code JavaScript malveillant. Ce lien incitait les administrateurs du serveur à cliquer dessus et à effectuer certaines actions (comme cliquer sur un bouton ou ajouter un favori), déclenchant ainsi l'exécution du code malveillant et entraînant le vol de leur jeton d'authentification Discord. À la même période, plusieurs autres projets Web3 populaires ont subi des attaques similaires.
Pour plus de détails, voir🔗 : https://www.secureblink.com/cyber-security-news/3-million-crypto-stolen-by-pink-drainer-exploiting-discord-and-twitter
Attaque de comptes Twitter
Le 26 mai 2023, le compte Twitter de Steve Aoki a été compromis, causant une perte de 170 000 dollars aux investisseurs en cryptomonnaie. L’analyse des transactions liées au compte frauduleux a révélé que cet incident était lié à Pink Drainer, suite à une attaque par transfert de carte SIM (SIM swap). Dans ce type d'attaque, les pirates utilisent l'ingénierie sociale (souvent à partir d'informations personnelles de la victime) pour tromper l'opérateur téléphonique et transférer le numéro de téléphone de la victime vers une carte SIM contrôlée par le pirate. Une fois cette opération réussie, ils peuvent prendre le contrôle du compte Twitter de la victime. Des attaques similaires ont également touché le chef technicien d'OpenAI, Slingshot, ainsi que Vitalik Buterin, tous ayant des liens avérés avec Pink Drainer.
Pour plus de détails, voir🔗 : https://www.bitdefender.com/blog/hotforsecurity/hacked-djs-twitter-account-costs-cryptocurrency-investors-170-000/
Attaque de sites web officiels
Le 6 octobre 2023, le site officiel de Galxe a été redirigé vers un site d'hameçonnage, provoquant une perte de 270 000 dollars pour les victimes. Selon l'explication officielle, un pirate inconnu s'est fait passer pour un représentant de Galxe et, en fournissant de faux documents au prestataire de services de nom de domaine, a réussi à réinitialiser les identifiants de connexion, contournant ainsi les procédures de sécurité de Galxe et accédant illicitement au compte du domaine. L'analyse des transactions des comptes victimes indique que l'attaquant derrière cet incident est Angel Drainer. Par ailleurs, Balancer et Frax Finance ont également été victimes d'attaques similaires menées par Angel Drainer.
Pour plus de détails, voir🔗 : https://www.secureblink.com/cyber-security-news/3-million-crypto-stolen-by-pink-drainer-exploiting-discord-and-twitter
- 4 -
Attaque de la chaîne logicielle (software supply chain)
Le 14 décembre 2023, Ledger Connect Kit, une bibliothèque JavaScript conçue pour faciliter la connexion entre les sites web et les portefeuilles, a été compromise. Un ancien employé de Ledger étant tombé dans un piège d'hameçonnage, les pirates ont pu uploader des fichiers malveillants dans le dépôt NPMJS de Ledger, créant ainsi une faille critique. Dès lors, les scripts malveillants ont pu être injectés dans plusieurs sites web populaires de cryptomonnaie. Les utilisateurs ont alors reçu des demandes de signature de transactions frauduleuses provenant de comptes piratés. À ce jour, les pertes cumulées sur diverses plateformes de cryptomonnaie, notamment SushiSwap et Revoke.cash, dépassent 600 000 dollars. L’analyse des transactions montre que l’acteur responsable de cette attaque est toujours Angel Drainer.
Pour plus de détails, voir🔗 : https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
- 5 -
Attaque de bases de données e-mail
Le 23 janvier 2024, le gestionnaire d'e-mails MailerLite a été piraté à la suite d'une attaque par ingénierie sociale. Un grand nombre d'e-mails contenant des liens malveillants provenant de Pink Drainer ont été envoyés depuis les comptes officiels de WalletConnect, Token Terminal et De.Fi. Cette attaque a débuté lorsque l'un des membres de l'équipe a accidentellement cliqué sur une image redirigeant vers une fausse page de connexion Google, permettant ainsi aux pirates d'accéder au panneau d'administration interne de MailerLite. Grâce à cet accès, les hackers ont réinitialisé les mots de passe de certains utilisateurs, provoquant une fuite de leurs bases de données e-mail et permettant une diffusion massive de courriels frauduleux.
Pour plus de détails, voir :
🔗 https://cointelegraph.com/news/mailerlite-confirms-hack-crypto-phishing-email-3m-attacks
Conclusion : comprendre en profondeur les tactiques des Drainers pour mieux se prémunir contre les risques d'hameçonnage Web3
Les développeurs de Drainer conçoivent continuellement de nouvelles méthodes pour infiltrer des projets renommés et exploiter leur trafic afin de propager des sites d'hameçonnage. Nous restons vigilants face à ces tactiques malveillantes et continuons de surveiller activement les comptes et transactions associés. Par ailleurs, les utilisateurs doivent impérativement vérifier attentivement chaque détail des transactions avant d'effectuer la moindre action !
Cet article vise à aider les utilisateurs à comprendre les méthodes d'attaque utilisées par les pirates afin de mieux anticiper les risques d'hameçonnage liés à l'écosystème Web3 et éviter les pertes dues aux transactions frauduleuses générées par les outils Drainer.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@BlockSecTeam
