Le Malware Inferno Drainer : Un Danger Persistant
Le malware de vol de crypto-monnaie Inferno Drainer reste opérationnel malgré sa fermeture annoncée, ayant été utilisé pour dérober plus de 9 millions de dollars de portefeuilles crypto au cours des six derniers mois. Selon la société de cybersécurité Check Point Research, plus de 30 000 portefeuilles ont été vidés par cette nouvelle campagne malveillante, alors que ses développeurs prétendaient avoir cessé leurs activités en novembre 2023.
Analyse et Fonctionnalités du Malware
Un porte-parole de CPR a déclaré à Decrypt que cette estimation est fondée sur « des données obtenues grâce à l’ingénierie inverse du code JavaScript du malware, au déchiffrement de sa configuration reçue du serveur de commande et contrôle, ainsi qu’à l’analyse de son activité sur la chaîne (on-chain). » La majorité des attaques ont eu lieu sur les réseaux Ethereum et Binance Chain, ont-ils ajouté. Les analystes de CPR ont signalé que les contrats intelligents Inferno Drainer déployés en 2023 sont toujours actifs à ce jour; la version actuelle du malware semble avoir été améliorée par rapport à ses itérations précédentes.
Le malware serait désormais capable d’utiliser des contrats intelligents à usage unique et des configurations chiffrées on-chain, rendant ainsi la détection et la prévention des attaques bien plus difficiles. De plus, la communication avec le serveur de commande et contrôle a été obscurcie par l’utilisation de proxies, compliquant davantage la traque des activités malveillantes.
Campagne de Phishing Connexe
La résurgence d’Inferno Drainer coïncide avec une campagne de phishing ciblant les utilisateurs de Discord. Selon les analystes de CPR, cette campagne a employé des techniques d’ingénierie sociale pour rediriger les utilisateurs d’un site Web d’un projet Web3 légitime vers un site contrefait imitant l’expérience utilisateur (UX) de vérification du populaire bot Discord Collab.Land. Ce faux site hébergeait un draineur de crypto-monnaie, trompant les victimes en leur faisant signer des transactions malveillantes, permettant ainsi aux attaquants d’accéder à leurs fonds.
Les analystes de CPR ont expliqué qu’en combinant « la tromperie ciblée et des tactiques d’ingénierie sociale efficaces, » cette campagne de malware a généré un « flux financier stable identifié par l’analyse des transactions sur la blockchain. »
Les utilisateurs de crypto-monnaie sont conseillés d’exercer une vigilance accrue lorsqu’ils interagissent avec des plateformes inconnues. Le faux bot Collab.Land identifié par CPR ne présentait que « des différences visuelles subtiles » avec le bot légitime, et les cybercriminels derrière cette tromperie continueront probablement à « affiner leur imitation, » ont affirmé les chercheurs.
Conseils de Sécurité
Étant donné que le service Collab.Land légitime exige que les utilisateurs vérifient leur portefeuille en signant, il est important de souligner que « même les utilisateurs expérimentés de crypto-monnaie peuvent abaisser leur garde » face au faux bot, rendant d’autant plus indispensable la vérification de l’authenticité avant de connecter des portefeuilles à un service. La résurgence d’Inferno Drainer n’est qu’une des nombreuses campagnes de malware qui ont émergé ces derniers mois. Les hackers adoptent des techniques de plus en plus sophistiquées pour déployer des malwares de vol de crypto-monnaie, ciblant des listes de diffusion piratées, des bibliothèques Python open source et même injectant des trojans sur des téléphones Android contrefaits.
