Les publicités Google et Twitter font la promotion de sites contenant un draineur de crypto-monnaie nommé « MS Drainer » qui a déjà volé 59 millions de dollars à 63 210 victimes au cours des neuf derniers mois.

Selon les analystes des menaces blockchain de ScamSniffer, ils ont découvert plus de dix mille sites Web de phishing utilisant le drainer de mars 2023 à aujourd’hui, avec des pics d’activité observés en mai, juin et novembre.

Un draineur est un contrat intelligent malveillant ou, dans ce cas, une suite complète de phishing conçue pour drainer des fonds du portefeuille de crypto-monnaie d’un utilisateur sans son consentement.

Les utilisateurs sont dirigés vers un site Web de phishing d’apparence légitime et incités à approuver des contrats malveillants, ce qui permet au draineur d’effectuer automatiquement des transactions non autorisées et de transférer l’argent de la victime vers l’adresse du portefeuille de l’attaquant.

Le code source de MS Drainer est vendu à des cybercriminels pour 1 500 dollars par un utilisateur nommé « Pakulichev » ou « PhishLab », qui facture également des frais de 20% sur tous les fonds volés avec la boîte à outils. PhishLab vend également des modules supplémentaires qui ajoutent de nouvelles fonctionnalités au logiciel malveillant, coûtant entre 500 et 1 000 dollars.

Poste faisant la promotion de MME Drainer auprès des cybercriminels

Selon les données de la blockchain sur l’activité de MME Drainer, l’une de ses victimes de la chaîne Ethereum a perdu 24 millions de dollars de crypto-monnaie, tandis que d’autres cas notables impliquent des victimes perdant entre 440 000 et 1,2 million de dollars.

Annonces frauduleuses sur Google et X
Dans la recherche Google, MME Drainer est promue via des publicités malveillantes affichées pour des mots clés liés aux plates-formes DeFi telles que Zapper, Lido, Stargate, Defillama, Orbiter Finance et Radiant.

Bon nombre de ces annonces exploitent la faille du modèle de suivi de Google Ads pour que l’URL apparaisse comme appartenant au domaine officiel du projet usurpé. Une redirection, cependant, amène ceux qui cliquent sur un site de phishing.

Exemple d’annonces malveillantes sur la recherche Google

Sur X, mieux connu sous le nom de Twitter, les publicités pour MME Drainer sont si abondantes que ScamSniffer rapporte qu’elles représentent six publicités de phishing sur neuf sur leur flux.

Notamment, de nombreuses publicités frauduleuses sur X sont publiées à partir de comptes légitimes « vérifiés » qui portaient le badge à coche bleue lorsque l’annonce a été diffusée.

Le chercheur en sécurité MalwareHunterTeam, qui suit des publicités similaires, a déclaré à Breachtrace qu’ils pensaient que les titulaires de comptes Twitter avaient peut-être été infectés par des logiciels malveillants qui volaient leurs cookies d’authentification ou leurs mots de passe, permettant aux acteurs de la menace de créer des publicités à partir des comptes piratés.

Étrangement, le chercheur a parlé à un compte X annonçant une arnaque à la crypto-monnaie et on lui a dit qu’il n’y avait aucune trace des publicités dans leurs comptes publicitaires.

Sur X, les cybercriminels ont utilisé plusieurs thèmes pour leurs publicités, dont un appelé « Ordinals Bubbles », qui faisait la promotion d’une collection NFT (jeton non fongible) supposée en édition limitée mettant en vedette divers personnages enfermés dans des bulles.

Ajout de bulles ordinales sur X

Les publicités faisaient également la promotion des largages aériens NFT et des lancements de nouveaux jetons sur les sites contenant l’égouttoir.

Autres annonces faisant la promotion de MS Drainer sur X

ScamSniffer indique qu’une méthode de contournement de la détection utilisée par ces publicités est le géorepérage, qui cible uniquement les utilisateurs de régions prédéfinies et redirige le reste vers des sites Web légitimes/inoffensifs.

La page de destination change en fonction de l’emplacement du visiteur

Les escroqueries par crypto-monnaie ont toujours bien fonctionné sur X, mais avec des comptes piratés dignes de confiance affichant désormais des publicités faisant la promotion de sites malveillants, nous devrions nous attendre à voir ces types d’attaques devenir encore plus efficaces.

Les utilisateurs doivent être très prudents lorsqu’ils voient des publicités liées à la crypto-monnaie et faire preuve de diligence raisonnable avant de s’inscrire à de nouvelles plateformes, sans parler de connecter leurs portefeuilles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *