Les utilisateurs de cryptos ont été confrontés à une hausse des attaques « psychologiquement manipulatrices » au deuxième trimestre, alors que les hackers redoublent d’imagination pour tenter de dérober des fonds, selon la société de cybersécurité blockchain SlowMist.

Lisa, directrice des opérations chez SlowMist, explique dans le rapport trimestriel MistTrack Stolen Fund Analysis que même si les techniques de piratage n’ont pas vraiment progressé, les arnaques, elles, gagnent en raffinement. Le rapport signale une recrudescence des fausses extensions de navigateur, des hardware wallets falsifiés et des attaques par ingénierie sociale.

« En revenant sur le deuxième trimestre, une tendance se démarque : les méthodes des attaquants ne deviennent pas forcément plus techniques, mais elles s'avèrent de plus en plus manipulatrices sur le plan psychologique. »

« On observe un basculement net des attaques purement on-chain vers des points d’entrée off-chain. Les extensions de navigateur, les comptes sur les réseaux sociaux, les processus d’authentification et le comportement des utilisateurs sont désormais des cibles fréquentes », précise Lisa.

Certaines extensions malveillantes se font passer pour des modules de sécurité

Ironiquement, l’une des nouvelles méthodes d’attaque repose sur des extensions de navigateur déguisées en outils de sécurité. C’est le cas de l’extension Chrome « Osiris », qui prétendait détecter les liens de phishing et les sites suspects.

En réalité, cette extension intercepte tous les téléchargements de fichiers .exe, .dmg et .zip, qu’elle remplace par des programmes malveillants.

« Plus sournois encore, les attaquants redirigent les utilisateurs vers des sites connus et fréquemment utilisés, comme Notion ou Zoom », précise Lisa.

« Lorsqu’un utilisateur tentait de télécharger un logiciel depuis ces sites officiels, les fichiers reçus avaient déjà été remplacés par des versions malveillantes — pourtant, le navigateur les affichait comme provenant de la source légitime, rendant toute suspicion quasiment impossible. »

Une fois installés, ces programmes collectaient des informations sensibles sur l’ordinateur de la victime, notamment les données du navigateur Chrome et les identifiants stockés dans le trousseau macOS. L’attaquant pouvait ainsi accéder aux phrases de récupération, clés privées ou identifiants de connexion.

Les informations sensibles extraites de l’ordinateur de la victime sont ensuite transmises au serveur de l’attaquant. Source: SlowMist

Les attaques exploitent l’anxiété des utilisateurs de cryptomonnaies

SlowMist indique qu’une autre méthode d’attaque consiste à piéger les investisseurs crypto en leur faisant utiliser des portefeuilles matériels falsifiés.

Dans certains cas, les hackers envoient aux victimes un cold wallet compromis, en prétendant qu’elles ont gagné l’appareil lors d’un « tirage au sort » ou en leur faisant croire que leur dispositif actuel a été compromis et qu’un transfert de leurs actifs s’impose.

Au deuxième trimestre, une victime aurait perdu 6,5 millions de dollars après avoir acheté un portefeuille froid falsifié repéré sur TikTok, selon Lisa.

Phishing, Scams, Hacks
Source: Intelligence on Chain

Un autre attaquant a vendu à sa victime un portefeuille matériel déjà préactivé, ce qui lui a permis de vider instantanément les fonds dès que l’utilisateur y a transféré ses cryptomonnaies pour les stocker.

Ingénierie sociale via un faux site de révocation d’autorisations

SlowMist rapporte avoir été contactée, au deuxième trimestre, par un utilisateur incapable de révoquer une « autorisation à risque » dans son wallet.

Après enquête, SlowMist explique que le site utilisé par l’utilisateur pour tenter de révoquer les autorisations du smart contract était « une copie quasi parfaite de l’interface bien connue de Revoke Cash ». Le faux site demandait aux utilisateurs de saisir leur clé privée afin de « vérifier les signatures à risque ».

« En analysant le code du site, nous avons confirmé qu’il s’agissait d’un site de phishing utilisant EmailJS pour envoyer les informations saisies — y compris les clés privées et les adresses — directement dans la boîte mail de l’attaquant. »

SlowMist a identifié le phishing, les arnaques et les fuites de clés privées comme les principales causes de vol au deuxième trimestre. Source: SlowMist

« Ces attaques par ingénierie sociale ne sont pas très complexes sur le plan technique, mais elles exploitent parfaitement l’urgence et la confiance », explique Lisa.

« Les attaquants savent que des expressions comme “signature à risque détectée” peuvent semer la panique. Cette panique pousse les utilisateurs à agir précipitamment. Une fois cet état émotionnel enclenché, il devient bien plus facile de les amener à faire ce qu’ils n’auraient jamais envisagé — cliquer sur des liens ou divulguer des informations sensibles. »

Des attaques exploitent la mise à jour Pectra… et les contacts WeChat

D’autres attaques ont utilisé des techniques de phishing exploitant l’EIP-7702, introduit dans la dernière mise à jour Pectra d’Ethereum. Une autre campagne a visé plusieurs utilisateurs de WeChat en prenant le contrôle de leurs comptes.

Selon Cointelegraph Magazine, les attaquants ont tiré parti du système de récupération de compte de WeChat pour se faire passer pour le véritable propriétaire, puis arnaquer ses contacts en leur proposant de l’USDT à prix réduit.

Les données de SlowMist pour le deuxième trimestre proviennent de 429 signalements de fonds volés transmis à l’entreprise sur cette période.

La société indique avoir gelé et récupéré environ 12 millions de dollars pour 11 victimes ayant déclaré un vol de cryptos au cours du trimestre.