Les Crypto Drainers et leur Évolution
Les crypto drainers, des malwares conçus pour voler des cryptomonnaies, sont devenus plus accessibles à mesure que l’écosystème évolue vers un modèle commercial de type logiciel en tant que service (SaaS). Dans un rapport publié le 22 avril, la société spécialisée en forensique et conformité crypto AMLBot a révélé que de nombreuses opérations de drainers ont transitionné vers un modèle SaaS connu sous le nom de “drainer-as-a-service” (DaaS).
Le rapport indique que les fournisseurs de malwares peuvent louer un drainer pour aussi peu que 100 à 300 USD. Slava Demchuk, PDG d’AMLBot, a déclaré à Cointelegraph que “précédemment, entrer dans le monde des arnaques liées aux cryptomonnaies nécessitait une certaine expertise technique”. Ce n’est plus le cas : sous le modèle DaaS, “se lancer n’est pas beaucoup plus difficile que pour d’autres types de cybercriminalité”.
Demchuk a expliqué que les futurs utilisateurs de drainers rejoignent souvent des communautés en ligne pour apprendre des fraudeurs plus expérimentés qui leur fournissent des guides et des tutoriels. Ainsi, de nombreux criminels impliqués dans des campagnes de phishing traditionnelles se tournent désormais vers le domaine des crypto drainers.
Cybercriminalité en Russie : presque dépénalisée
Demchuk a également souligné que les groupes offrant des crypto drainers en tant que service deviennent de plus en plus audacieux et ressemblent à des entreprises traditionnelles :
“Fait intéressant, certains groupes de drainers sont devenus si organisés qu’ils ont même créé des stands lors de conférences industrielles, CryptoGrab étant l’un des exemples les plus marquants.”
Lorsqu’on lui a demandé comment une opération criminelle peut envoyer des représentants à des événements de l’industrie informatique sans craindre des arrestations, il a évoqué l’application des lois sur la cybercriminalité en Russie.
“Cela est possible dans des juridictions comme la Russie, où le piratage est essentiellement dépénalisé, tant que l’on n’opère pas dans l’espace post-soviétique,”
a-t-il précisé.
Cette situation est un secret de polichinelle dans le secteur de la cybersécurité depuis de nombreuses années. En 2021, le site d’actualités en cybersécurité KrebsOnSecurity a rapporté que
“pratiquement toutes les souches de ransomware”
se désactivent sans causer de dommages si elles détectent des claviers virtuels russes. De même, le voleur d’informations Typhon Reborn v2 vérifie la géolocalisation de l’IP de l’utilisateur par rapport à une liste de pays post-soviétiques. Selon la société Cisco, s’il détermine que son utilisateur est dans l’un de ces pays, il se désactive.
Croissance Continue des Drainers
Demchuk a ajouté que les organisations DaaS trouvent généralement leur clientèle au sein de communautés de phishing établies, incluant des forums de chapeaux gris et noirs, tant sur le clearnet que sur le darknet, ainsi que des groupes et canaux Telegram, et des marchés gris. En 2024, Scam Sniffer a rapporté que les drainers étaient responsables d’environ 494 millions USD de pertes, soit une augmentation de 67 % par rapport à l’année précédente, malgré une augmentation de 3,7 % du nombre de victimes.
Les drainers sont en forte hausse, avec le géant de la cybersécurité Kaspersky rapportant que le nombre de ressources en ligne qui leur sont dédiées sur les forums darknet est passé de 55 en 2022 à 129 en 2024.
Les développeurs sont souvent recrutés par le biais d’annonces d’emploi classiques. Un enquêteur en intelligence open source d’AMLBot, qui souhaite rester anonyme pour des raisons de sécurité, a confié à Cointelegraph que son équipe
“est tombée sur plusieurs offres d’emploi ciblant spécifiquement des développeurs pour créer des drainers pour les écosystèmes Web3.”
Il a fourni une annonce qui décrit les fonctionnalités requises d’un script capable de vider les portefeuilles Hedera View More, rédigée à l’origine en russe et partagée dans un chat Telegram axé sur les développeurs.
L’enquêteur a souligné que ce type d’annonces apparaît dans des discussions Telegram pour développeurs de contrats intelligents, qui ne sont pas privées ou restreintes, mais qui comptent généralement entre 100 et 200 membres. L’annonce donnée en exemple a été rapidement supprimée par les administrateurs. Cependant,
“comme c’est souvent le cas, ceux qui avaient besoin de la voir l’avaient déjà notée et y avaient répondu.”
Traditionnellement, ce type d’activités se déroulait sur des forums spécialisés accessibles via le réseau Tor. Cependant, l’enquêteur a expliqué qu’une grande partie du contenu a migré vers Telegram en raison de sa politique de protection des données. Cela a changé après l’arrestation du PDG de Telegram, Pavel Durov, qui a averti qu’il préférait se retirer de certains marchés plutôt que d’implémenter des portes dérobées de chiffrement qui compromettraient la vie privée des utilisateurs.
Les crypto drainers, des malwares créés pour voler des cryptomonnaies, constituent désormais une industrie de plus en plus accessible, permettant à un plus grand nombre de personnes de participer à ses profits.
