Près de 2 000 sites WordPress piratés affichent désormais de faux NFT et des fenêtres contextuelles à prix réduit pour inciter les visiteurs à connecter leurs portefeuilles à des draineurs cryptographiques qui volent automatiquement des fonds.

La société de sécurité de sites Web Sucuri a révélé le mois dernier que des pirates informatiques avaient compromis environ 1 000 sites WordPress pour promouvoir des draineurs cryptographiques, dont ils ont fait la promotion via des publicités malveillantes et des vidéos YouTube.

On pense que les auteurs de la menace n’ont pas réussi leur campagne initiale et ont commencé à déployer des scripts d’actualités sur les sites compromis pour transformer les navigateurs Web des visiteurs en outils permettant de forcer brutalement les mots de passe des administrateurs sur d’autres sites.

Ces attaques ont impliqué un groupe d’environ 1 700 sites de forçage brutal, y compris des exemples importants comme le site Web de l’Association équatorienne des Banques privées. L’objectif était de créer un pool de sites suffisamment important pour qu’ils puissent éventuellement monétiser une campagne plus étendue.

Selon le chercheur en cybersécurité MalwareHunterTeam, les acteurs de la menace ont maintenant commencé à monétiser le pool de sites pour afficher des fenêtres contextuelles faisant la promotion de fausses offres NFT et de remises cryptographiques.

Bien qu’on ignore combien de sites compromis affichent actuellement ces draineurs cryptographiques, une recherche Urlscan montre que plus de 2 000 sites Web compromis ont chargé les scripts malveillants au cours des sept derniers jours.

Tous ne génèrent pas les escroqueries pop-up cryptographiques pour le moment, mais cela pourrait changer à tout moment.

Les pop-ups mènent à des draineurs cryptographiques
Les scripts malveillants sont chargés à partir du domaine dynamic-linx[.] com, qui est la même URL que Sucuri a vue le mois dernier.

Ce script recherchera un cookie spécifique (« haw ») et, s’il n’existe pas, injectera des scripts malveillants dans la page Web, comme indiqué ci-dessous.

Les nouveaux scripts injectés dans les sites WordPress piratés

Le code malveillant affiche au hasard une fenêtre contextuelle promotionnelle, invitant les victimes à connecter leur portefeuille pour créer un NFT prometteur ou à bénéficier d’une remise sur le site Web.

Exemples d’escroqueries cryptographiques contextuelles vues par Breachtrace

Breachtrace a testé plusieurs sites hébergeant ces scripts, et bien qu’il y ait eu initialement quelques problèmes avec les fenêtres contextuelles ne tentant pas de se connecter aux portefeuilles, elles ont finalement recommencé à fonctionner.

Lorsque vous cliquez sur le bouton de connexion, les scripts afficheront initialement la prise en charge native des portefeuilles Metal Mask, Safe Wallet, Coinbase, Ledger et Trust Wallet. Cependant, ils prennent également en charge « Wallet Connect », qui prend en charge de nombreux autres portefeuilles, élargissant considérablement la portée du ciblage.

Portefeuilles cryptographiques pris en charge

Une fois qu’un visiteur connecte le nouveau site Web3 à son portefeuille, le crypto drainer volera tous les fonds et NFT du compte et les enverra aux acteurs de la menace.

Il convient de noter que Netmask affichera un avertissement lors de la visite de sites Web infectés par ces scripts malveillants.

Les draineurs de crypto sont devenus un énorme problème pour la communauté des crypto-monnaies, les acteurs de la menace piratant des comptes X bien connus et créant des vidéos d’IA et des publicités malveillantes pour promouvoir des sites Web qui utilisent des scripts malveillants.

Pour éviter de perdre vos actifs numériques au profit des opérateurs de drainage cryptographique et d’autres cybercriminels, connectez uniquement votre portefeuille à des plateformes de confiance.

Quelle que soit la réputation établie d’un site Web, il est prudent de faire preuve de prudence avec les fenêtres contextuelles inattendues, en particulier lorsque celles-ci ne correspondent pas au sujet principal ou à la conception d’un site Web.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *