« Nous vous proposons de beta-tester les nouvelles fonctionnalités dédiées aux NFT de notre éditeur de photo, et nous vous rémunérerons pour cela (en ETH) bien évidemment ». Voici le genre de message reçu par plusieurs créateurs de NFT (non-fungible tokens) en ce début de mois de juin.

Ils cachent une campagne de phishing ciblée et personnalisée, dont la finalité est d’infecter l’ordinateur des victimes avec un malware. D’après le chercheur Bart Blaze, dont le travail a été repéré par The Record Media, les cybercriminels utilisent une version de Redline, un « infostealer » découvert en mars 2020.

Comme son nom l’indique, l’infostealer permet, une fois déployé sur l’ordinateur de la victime, de voler :

  • Les noms d’utilisateurs et mots de passe stockés sur les navigateurs.
  • Des informations sur l’ordinateur et le système d’exploitation.
  • Surtout, les informations de connexion aux portefeuilles de cryptomonnaie. Généralement, elles sont enregistrées dans des extensions chrome ou des fichiers dédiés. Redline peut chercher plus de 12 types de portefeuilles différents, et couvre ainsi les services les plus utilisés sur le marché. Sinon, il peut aussi enregistrer la frappe au clavier de la victime.
iphone(2).jpg

Les attaques contre les députés allemands feraient partie de l’opération Ghostwriter. // Source : CCO/Flickr

Les malfrats se font passer pour des entreprises réelles, mais peu connues, ou pour de riches particuliers. Ensuite, ils démarchent les artistes sur Twitter, Instagram ou par email, pour de prétendues propositions de partenariats rémunérés, ou pour de fausses demandes de commission.

Leur objectif ? Faire télécharger puis exécuter un fichier qui embarque le malware Redline. Ils prétendent qu’il s’agit du logiciel à tester, d’une ébauche du travail demandé, ou encore d’une grille de paiement. L’artiste FVCKRENDER a par exemple été piégé par un message privé envoyé sur Twitter par l’utilisatrice « Ha Chon-Chee », une prétendue Coréenne qui travaillerait pour un collectionneur : « Mon patron veut vous acheter de l’art numérique […]  Nous avons des idées sur la peinture que nous voulons et nous avons dessiné une ébauche. Nous pouvons vous l’envoyer pour que vous voyiez quel genre de peinture nous voulons ». L’artiste s’est étonné que le fichier de l’ébauche ne l’affiche pas. Peu après, il découvrait que son portefeuille avait été vidé de 40 000 AXS (Axie Infinity, une cryptomonnaie) soit environ 137 000 euros.

Les cybercriminels veulent profiter de la popularité des NFT

Les créateurs de NFT ont des profils de victimes très intéressants pour les malfrats. Bien que récemment en « chute dramatique », les ventes de NFT se sont élevées à plus de 2 milliards de dollars au premier trimestre 2021, et forcément, certains créateurs ont les poches bien remplies. De plus, les vendeurs de ces tokens sont bien plus susceptibles que le reste de la population de détenir des cryptomonnaies en grandes quantités, de par leur intérêt pour les technologies liées à la blockchain.

Pour finir, contrairement à une fraude bancaire traditionnelle, le vidage d’un compte de cryptomonnaie ne laisse que peu de traces. Les malfaiteurs ont plus de chance de partir avec le magot sans être poursuivis par les forces de l’ordre.

Vous avez été visé par un phishing similaire ? Racontez-nous votre mésaventure à [email protected]

Le mode opératoire utilisé contre les créateurs de NFT rappelle celui employé pour piéger les Youtubeurs. Dupées par des messages détaillés et un interlocuteur particulièrement réactif, les victimes ne voient pas certains signaux d’alerte. Par exemple, dans cette campagne, les cybercriminels cachent Redline dans un fichier .SCR, le format des « screensavers » de Window. Ces fichiers prennent en charge la mise en veille des écrans de l’ordinateur. Autrement dit, il n’existe donc aucun cas de figure légitime dans lequel une entreprise ferait télécharger ce type de fichier à un partenaire.

D’autres indicateurs comme le faible nombre d’abonnés de l’interlocuteur, son absence sur d’autres réseaux sociaux ou encore le montant proposé pour le partenariat — sans signer de contrat — ont permis à certaines cibles de l’arnaque d’y échapper. Reste que les cybercriminels ont bien prévu leur attaque : le fichier contenant Redline est artificiellement grossi par des lignes de codes inutiles pour éviter les scans des antivirus. C’est une méthode assez répandue, que Cyberguerre avait déjà observée sur un malware à destination des youtubeurs.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.