« Nous vous proposons de beta-tester les nouvelles fonctionnalités dédiées aux NFT de notre éditeur de photo, et nous vous rémunérerons pour cela (en ETH) bien évidemment ». Voici le genre de message reçu par plusieurs créateurs de NFT (non-fungible tokens) en ce début de mois de juin.

Ils cachent une campagne de phishing ciblée et personnalisée, dont la finalité est d’infecter l’ordinateur des victimes avec un malware. D’après le chercheur Bart Blaze, dont le travail a été repéré par The Record Media, les cybercriminels utilisent une version de Redline, un « infostealer » découvert en mars 2020.

Comme son nom l’indique, l’infostealer permet, une fois déployé sur l’ordinateur de la victime, de voler :

  • Les noms d’utilisateurs et mots de passe stockés sur les navigateurs.
  • Des informations sur l’ordinateur et le système d’exploitation.
  • Surtout, les informations de connexion aux portefeuilles de cryptomonnaie. Généralement, elles sont enregistrées dans des extensions chrome ou des fichiers dédiés. Redline peut chercher plus de 12 types de portefeuilles différents, et couvre ainsi les services les plus utilisés sur le marché. Sinon, il peut aussi enregistrer la frappe au clavier de la victime.
iphone(2).jpg

Les attaques contre les députés allemands feraient partie de l’opération Ghostwriter. // Source : CCO/Flickr

Les malfrats se font passer pour des entreprises réelles, mais peu connues, ou pour de riches particuliers. Ensuite, ils démarchent les artistes sur Twitter, Instagram ou par email, pour de prétendues propositions de partenariats rémunérés, ou pour de fausses demandes de commission.

Leur objectif ? Faire télécharger puis exécuter un fichier qui embarque le malware Redline. Ils prétendent qu’il s’agit du logiciel à tester, d’une ébauche du travail demandé, ou encore d’une grille de paiement. L’artiste FVCKRENDER a par exemple été piégé par un message privé envoyé sur Twitter par l’utilisatrice « Ha Chon-Chee », une prétendue Coréenne qui travaillerait pour un collectionneur : « Mon patron veut vous acheter de l’art numérique […]  Nous avons des idées sur la peinture que nous voulons et nous avons dessiné une ébauche. Nous pouvons vous l’envoyer pour que vous voyiez quel genre de peinture nous voulons ». L’artiste s’est étonné que le fichier de l’ébauche ne l’affiche pas. Peu après, il découvrait que son portefeuille avait été vidé de 40 000 AXS (Axie Infinity, une cryptomonnaie) soit environ 137 000 euros.

Les cybercriminels veulent profiter de la popularité des NFT

Les créateurs de NFT ont des profils de victimes très intéressants pour les malfrats. Bien que récemment en « chute dramatique », les ventes de NFT se sont élevées à plus de 2 milliards de dollars au premier trimestre 2021, et forcément, certains créateurs ont les poches bien remplies. De plus, les vendeurs de ces tokens sont bien plus susceptibles que le reste de la population de détenir des cryptomonnaies en grandes quantités, de par leur intérêt pour les technologies liées à la blockchain.

Pour finir, contrairement à une fraude bancaire traditionnelle, le vidage d’un compte de cryptomonnaie ne laisse que peu de traces. Les malfaiteurs ont plus de chance de partir avec le magot sans être poursuivis par les forces de l’ordre.

Vous avez été visé par un phishing similaire ? Racontez-nous votre mésaventure à [email protected]

Le mode opératoire utilisé contre les créateurs de NFT rappelle celui employé pour piéger les Youtubeurs. Dupées par des messages détaillés et un interlocuteur particulièrement réactif, les victimes ne voient pas certains signaux d’alerte. Par exemple, dans cette campagne, les cybercriminels cachent Redline dans un fichier .SCR, le format des « screensavers » de Window. Ces fichiers prennent en charge la mise en veille des écrans de l’ordinateur. Autrement dit, il n’existe donc aucun cas de figure légitime dans lequel une entreprise ferait télécharger ce type de fichier à un partenaire.

D’autres indicateurs comme le faible nombre d’abonnés de l’interlocuteur, son absence sur d’autres réseaux sociaux ou encore le montant proposé pour le partenariat — sans signer de contrat — ont permis à certaines cibles de l’arnaque d’y échapper. Reste que les cybercriminels ont bien prévu leur attaque : le fichier contenant Redline est artificiellement grossi par des lignes de codes inutiles pour éviter les scans des antivirus. C’est une méthode assez répandue, que Cyberguerre avait déjà observée sur un malware à destination des youtubeurs.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !