Résumé des Escroqueries en Crypto-Monnaie
Points clés : Selon un post de l’équipe anti-fraude ScamSniffer, le 15 août, un utilisateur a perdu 140 ETH (environ 636 500 $ au moment de la rédaction) en copiant la mauvaise adresse de son historique de transfert crypto « infecté ». Le poisonnement d’adresse crypto repose sur la création d’adresses pratiquement identiques. Les attaquants envoient de petites transactions depuis des portefeuilles qui ressemblent de près à ceux des véritables utilisateurs pour tromper les victimes en leur faisant copier la mauvaise adresse pour de futurs transferts.
Selon Cointelegraph, le 10 août, une victime d’une attaque similaire a perdu 880 000 $. D’autres rapports indiquent deux autres cas : l’un impliquant une perte de 80 000 $ et un autre de 62 000 $. En cinq jours, les escrocs ont réussi à voler plus de 1,6 million de dollars en utilisant cette méthode.
Phishing et Malware
En plus des pertes dues au « poisonnement d’adresse », ScamSniffer a rapporté qu’au moins 600 000 $ ont été perdus cette semaine en raison d’utilisateurs signant des demandes de phishing malveillantes telles que approve, increaseAllowance et permit. Le 12 août, à la suite de telles actions, un utilisateur a perdu des tokens BLOCK et DOLO d’une valeur de 165 000 $.
Le 11 août, les analystes de F6 ont découvert un schéma ciblant les résidents russes. Utilisant un faux marché pour le jouet populaire Labubu, les escrocs ont proposé de la crypto-monnaie gratuite du même nom. Pour participer à la promotion frauduleuse, les utilisateurs devaient connecter un portefeuille crypto. Une fois activé, le site web des attaquants demandait l’accès aux informations de solde et à l’historique des transactions crypto.
Si des actifs étaient présents, l’interface demandait des autorisations supplémentaires pour vérifier la participation à l’airdrop. Le malware transférait ensuite les fonds de la victime vers les adresses des fraudeurs.
Les hackers surveillaient les portefeuilles ; s’ils étaient vides, les utilisateurs étaient refusés de participation. Auparavant, les escrocs avaient utilisé la marque Labubu pour voler des comptes Telegram. Les attaquants avaient créé des bots où les victimes pouvaient prétendument gagner un jouet ou le recevoir en échange d’un avis. Les victimes partageaient leurs informations de contact et saisissaient des codes reçus via le messager, entraînant une perte d’accès au compte.
Propagation du Trojan Efimer
Les employés de Kaspersky Lab ont enregistré une vague de vols impliquant la substitution d’adresses de portefeuilles crypto. Le Trojan Efimer est distribué via des sites WordPress piratés, des torrents et des e-mails. Le malware collecte également des identifiants à partir de ressources compromises pour une distribution ultérieure de spam.
Les experts notent que les attaquants utilisent des fichiers torrent comme appât pour attaquer des individus. Ils trouvent des sites WordPress mal protégés et publient des messages proposant de télécharger des films nouvellement sortis. Le lien mène à une archive protégée par mot de passe contenant un fichier malveillant déguisé en xmpeg_player.exe.
Dans les cas ciblant des organisations, les e-mails de phishing citent des violations de droits d’auteur. L’archive infectée contient des détails aux côtés du fichier malveillant qui, une fois lancé, infecte l’ordinateur avec Efimer et n’affiche qu’une notification d’erreur.
Le Trojan remplace ensuite les adresses crypto dans le presse-papiers par celles des portefeuilles de l’attaquant et recherche des chaînes ressemblant à des phrases de récupération. Il est également capable d’exécuter du code frauduleux via le réseau Tor pour une auto-récupération.
Incidents de Sécurité et Vulnérabilités
Selon Kaspersky Lab, 5 015 utilisateurs ont été confrontés à des attaques Efimer d’octobre 2024 à juillet 2025. Les pays les plus touchés étaient l’Inde, l’Espagne, la Russie, l’Italie et l’Allemagne.
Des hackers pro-russes ont pris le contrôle de systèmes d’exploitation critiques dans un barrage en Norvège et ont ouvert les vannes de décharge, rapporte Bleeping Computer. Les hackers ont pénétré le système numérique contrôlant le flux d’eau au barrage de Bremanger, réglant les vannes de décharge en position ouverte. Les opérateurs ont mis environ quatre heures à détecter et à couper l’eau. D’ici là, plus de 7,2 millions de litres avaient traversé le système.
L’attaque a eu lieu en avril mais a été rendue publique en août par Beate Gangos, responsable du service de sécurité de la police norvégienne. Elle a déclaré qu’il ne s’agissait pas tant d’une tentative de causer des dommages que d’une démonstration des capacités des hackers.
Le 10 août, le chercheur en cybersécurité Harness Eaton Zveare a informé TechCrunch d’une vulnérabilité dans le portail en ligne d’un constructeur automobile. Cela a permis la divulgation de données privées des clients, d’informations sur les voitures et le piratage à distance des véhicules.
Zveare a refusé de nommer le constructeur mais a confirmé qu’il s’agissait d’un constructeur bien connu avec plusieurs marques populaires. La vulnérabilité dans le système d’autorisation du portail était difficile à découvrir, mais une fois trouvée, Zveare a contourné complètement le mécanisme de connexion en créant un nouveau compte administrateur.
Avec l’accès, Zveare pouvait atteindre plus de 1 000 concessions à travers les États-Unis. Il a démontré l’exploitation en prenant un numéro VIN d’une voiture dans un parking pour identifier le propriétaire. L’outil pouvait également rechercher par prénom et nom de famille.
Avec l’accès au portail, il était possible de lier n’importe quelle voiture à un compte mobile, permettant le contrôle de certaines fonctionnalités—comme l’ouverture des portes—depuis l’application. Zveare n’a pas testé de partir avec une voiture mais a noté que la vulnérabilité rendait un tel piratage et un vol potentiel possibles.
