Répression mondiale contre les malwares
Une répression mondiale contre les malwares liés à la cybercriminalité en tant que service qui siphonnent discrètement les portefeuilles de cryptomonnaies a permis de geler des dizaines de millions de dollars de fonds volés. Les forces de l’ordre ont identifié, signalé et gelé plus de 41 millions d’euros (environ 47 millions de dollars) d’actifs cryptographiques criminels lors de la dernière phase de l’Opération Endgame, a déclaré Europol mercredi.
Malwares ciblant les utilisateurs de cryptomonnaies
Cette opération de deux semaines, menée dans plusieurs pays, a démantelé l’infrastructure derrière trois familles de malwares : SocGholish, Amadey et StealC, qui ciblent toutes les utilisateurs de cryptomonnaies. StealC, un infostealer proposé comme service depuis 2023, extrait des mots de passe, des cookies de navigateur et des données de portefeuilles cryptographiques des machines infectées. Son panneau de contrôle incluait même un plugin qui tentait de déchiffrer les phrases de récupération des portefeuilles MetaMask des victimes, selon des chercheurs de Proofpoint.
Amadey permet d’obtenir un accès initial et déploie d’autres malwares, tandis que SocGholish, lié au groupe russe Evil Corp, infecte les utilisateurs via de fausses invites de mise à jour de navigateur sur des sites web piratés. Ensemble, ces malwares forment le front des attaques qui se traduisent par des portefeuilles vidés, des prises de contrôle de comptes et des ransomwares.
Résultats de l’opération
La police a démantelé 326 serveurs et 142 domaines, récupéré près de 27 millions de données d’identification volées provenant de plus de 385 000 systèmes compromis, et nettoyé près de 15 000 sites web infectés, dont beaucoup appartenaient à de petites entreprises. Microsoft, partenaire de l’opération, a lié Amadey et StealC à plus de 140 000 ordinateurs infectés dans le monde entier rien que durant les deux premières semaines de mai.
Les infostealers et leur impact
Les infostealers sont devenus une voie principale vers le vol de cryptomonnaies, siphonnant discrètement des fichiers de portefeuille, des clés privées et des phrases de récupération des appareils des victimes. Ils utilisent une variété de vecteurs pour cibler les utilisateurs de cryptomonnaies, y compris de faux outils d’IA, des fonds d’écran Steam et des mods de jeux piratés.
L’ampleur de l’exposition est vaste. Une action précédente de l’Opération Endgame à la fin de l’année dernière a révélé des données de connexion pour plus de 100 000 portefeuilles de cryptomonnaies, volées aux victimes mais pas encore vidées.
Actions légales et futures
L’unité des crimes numériques de Microsoft a déposé séparément une plainte pour racket aux États-Unis qui, pour la première fois, a traité deux familles de malwares comme une seule conspiration criminelle. En utilisant des outils d’IA, y compris Copilot, pour analyser les malwares, les enquêteurs ont découvert qu’Amadey et StealC, bien que construits par différents criminels, fonctionnaient sur une infrastructure partagée, permettant à Microsoft de poursuivre les facilitateurs des deux opérations en vertu de la loi RICO et de perturber plus de 200 serveurs de commande et de contrôle.
Microsoft a depuis identifié plus de 18 000 ordinateurs victimes et a commencé à couper le contrôle des attaquants. De telles opérations de démantèlement ne parviennent que rarement à éliminer complètement les malwares, et les opérateurs ont tendance à se regrouper, StealC ayant expédié une nouvelle version aussi récemment que ce mois-ci.
Pour l’instant, Europol et ses partenaires transmettent des alertes aux victimes via des services comme Have I Been Pwned, afin que les utilisateurs puissent vérifier si leurs identifiants et les clés de leurs portefeuilles sont déjà entre les mains de criminels.
