Prenez votre pop-corn et vos chapeaux de détective, les amis ! Aujourd'hui, nous plongeons dans l'histoire captivante d'un projet de chasse aux menaces que nous avons abordé. Nous ne pouvons pas dévoiler tous les détails pour des raisons de confidentialité, mais nous promettons qu'il s'agit d'une histoire en montagnes russes.
L'arnaque par hameçonnage
Notre histoire commence par un simple message promettant aux utilisateurs des réseaux sociaux une voie rapide vers le club des crypto-millionnaires. Après avoir été bombardé de vidéos TikTok de crypto-millionnaires affichant leurs Lamborghini flashy tout en prêchant à quel point il était facile de devenir riche rapidement, l'utilisateur n'a pas pu s'empêcher de penser : « Maintenant, c'est mon tour !
Après avoir cliqué sur le site Web et connecté avec enthousiasme, près de 1.5 million de dollars apparaissent soudainement à l'écran. L'utilisateur est submergé à l'idée de pouvoir enfin quitter son emploi et se retirer quelque part sur une plage de sable et, sans y réfléchir à deux fois, clique sur le bouton « se retirer ».
Mais pas sans avoir besoin d’approuver au préalable le transfert !
Après avoir signé la transaction avec son portefeuille pour approuver l'échange, il n'y avait aucun signe de compromission du portefeuille de l'utilisateur. Il semblait que l’utilisateur venait vraiment de devenir riche ! Tout semblait parfait et le contrat avait été exécuté sans encombre… Il n'y avait donc aucun risque. Droite?
Pas assez…
Malheureusement pour cet utilisateur, ces attaquants sont rusés. Ils conçoivent une UI/UX sans méfiance qui semble totalement sûre. Derrière cette façade innocente, ils drainent discrètement tout l'USDT que la victime avait caché dans l'espoir de l'investir dans le prochain Altcoin 10,000 XNUMXX.
Mais comment orchestrent-ils exactement cette opération sournoise ? Continuez à lire pour le découvrir.
La mission de Sayfer
Dans cette chasse à l'oie sauvage d'un projet de recherche, nous avions pour mission de sévir contre l'ampleur de cette opération, de détecter tous leurs domaines et adresses connus, et de démasquer les coupables derrière tout cela. En plusieurs mois, nous avons résolu la plupart de nos questions initiales, ainsi qu'un tas de questions surprises que nous n'avions même pas pensé à poser au début !
Plongeons dans…
Comment ça a commencé:
Nous avons conclu que la meilleure stratégie était d’attaquer sur tous les fronts, mais avant de continuer, nous devions rassembler davantage d’informations. Pour acquérir les informations nécessaires, nous avons commencé par explorer toutes les pistes disponibles dont nous disposions.
- Le compte Twitter malveillant
- Le site malveillant
- Le contrat intelligent malveillant
Ce que nous avons trouvé :
robots robots robots
Nous avons d’abord soupçonné que le compte était un robot. Grâce à une enquête plus approfondie, nous avons pu confirmer que notre instinct était juste. Le robot avait un petit nombre de followers et ne suivait que quelques comptes. Il avait publié des tweets faisant la promotion d’escroqueries et utilisant des photos génériques et du texte généré par l’IA. Pour nous donner quelques indices et nous aider à trouver des pages similaires, nous avons analysé de près la page Twitter pour en rechercher les fonctionnalités uniques. Nous avons commencé par rechercher des emojis spécifiques dans la description, ce qui a conduit à de nombreux résultats non pertinents. Juste au moment où nous pensions être dans une impasse, nous avons réussi notre percée ! Un espace de largeur nulle (ZWS) entre deux emojis s’est avéré être un élément crucial dans notre processus de prise d’empreintes digitales.
🚀🪙
Maintenant, à l’œil humain, il n’y a rien d’extraordinaire ici… Cependant, en y regardant de plus près, il y a un personnage supplémentaire invisible niché entre eux. Ce détail minutieux a joué un rôle déterminant dans nos recherches.
Nous avons émis l'hypothèse que cela pourrait être un problème dans le script du bot. Suite à cette découverte, nous avons identifié plus de 300 robots partageant le même caractère particulier, chacun promouvant diverses escroqueries cryptographiques et créant des liens vers leurs sites Web. Avec cette liste en main, nous sommes passés au front suivant.
Mauvais sites Web
Suite à notre découverte réussie de robots, l’étape suivante consistait à rechercher ces sites Web frauduleux. Cela impliquait une reconnaissance complète comprenant l'analyse des sous-domaines et des dossiers du serveur, la collecte d'informations provenant de sources ouvertes (OSINT), les empreintes digitales du serveur, l'utilisation de termes de recherche spécifiques (dorks), la découverte d'identifiants Google Analytics, les contrôles de transparence des certificats, etc. Au cours de ce processus, nous avons découvert un back-end personnalisé pour le site Web, qui n'était pas lié au site officiel.
Nous avons suivi le fil d'Ariane et, avec l'aide d'un de nos abrutis de Google, nous avons découvert que cette interface d'administration avait été mentionnée dans un article de Pastebin quelques mois auparavant. Cet article contenait une liste de centaines de sites Web similaires utilisant le même back-end.
Heureusement, l'un de ces sites avait téléchargé ses sourcesmaps. Cela nous a donné accès au code frontal complet, y compris les commentaires. De là, nous avons découvert le vrai nom de la plateforme d’arnaque ! Plus tard, nous avons découvert que le code était vendu comme cadre d'arnaque cryptographique sur le Darknet.
Grâce à notre analyse approfondie, nous avons identifié le groupe de cybercriminalité basé en Asie responsable de l'arnaque et avons partagé ces informations avec les forces de l'ordre pour les traduire en justice.
Même si l’identification de l’auteur était une véritable prouesse, il nous restait encore à comprendre ses méthodes. Cela nous a conduit à la prochaine piste d’investigation : le contrat intelligent.
Contrat intelligent délicat
Au cours de notre enquête sur leurs contrats intelligents, un examen des transactions malveillantes a révélé que le contrat demandait trompeusement à l'utilisateur de « tout approuver », donnant au contrat intelligent l'autorisation de retirer tous les fonds du portefeuille de l'utilisateur. Nous n'avons pas été surpris car ce type d'arnaque est répandu en raison de la nature à haut risque des Dapps (vous pouvez en savoir plus à ce sujet dans un superbe pièce de nos collègues de Zengo).
Mais nous devions creuser encore plus profondément pour comprendre comment cela se faisait, nous avons donc décidé de procéder à une ingénierie inverse du contrat. Notre analyse a révélé un étrange opcode déclenché lorsque l'utilisateur tentait de retirer des fonds. Le contrat a vérifié la variable globale block.basefee, représentée par l'opcode 0x48 EVM dans EIP-3198. Si ces variables étaient égales à 0, tous les fonds du contrat seraient transférés à la victime – exactement le contraire d’une arnaque.
(Restez à l'écoute de notre prochain tutoriel sur la façon de procéder à l'ingénierie inverse des contrats à l'aide de ChatGPT).
Nous avons continué à creuser et avons découvert que de nombreux outils de simulation de transactions permettent aux utilisateurs de prévisualiser le résultat d'une transaction sans réellement l'exécuter. Ces outils sont principalement des wrappers pour l'implémentation du nœud Ethereum de trace_call/debug_traceCall.
L'attaquant a réussi à déchiffrer l'implémentation de trace_call et à créer un code qui se comporte différemment dans une simulation par rapport à la vie réelle, garantissant ainsi l'absence de suspicion de la part des utilisateurs. Cela signifie que dans un environnement simulé, il semble que la victime reçoive des fonds, alors qu'en réalité, aucune transaction n'a lieu.
Ce type de malware est rarement trouvé dans la nature. À notre connaissance, il s’agit du premier cas de malware anti-VM basé sur EVM.
Conclusion
En conclusion, ce projet de chasse aux menaces souligne l’importance d’une recherche complète et multiforme pour détecter et comprendre les escroqueries cryptographiques. Une myriade de techniques ont été utilisées, allant de la prise d'empreintes digitales de robots à la reconnaissance de sites Web en passant par l'analyse de contrats intelligents. Ces techniques ont démontré comment une analyse approfondie peut révéler la véritable nature d'une opération, fournir un aperçu de ses motivations et même identifier les auteurs.
Par ailleurs, cette étude de cas souligne la nécessité de faire preuve de vigilance et de prudence dans les transactions en ligne, notamment en matière de cryptomonnaie. Dans ce cas, les attaquants ont réussi à créer une UI/UX convaincante, soulignant la nécessité d’informer les utilisateurs sur les escroqueries par phishing et l’importance de vérifier l’authenticité des sites Web et des transactions. Cela peut réduire le risque de vol de fonds et favoriser un environnement en ligne plus sûr et plus sécurisé.
La fin.
Anna Shreder
Anna est chercheuse en sécurité chez Sayfer. Elle est passionnée par la compréhension et la recherche des vecteurs d'attaque et de défense qui apparaissent dans les nouvelles technologies émergentes.
Vous voulez en savoir plus ?
Une réunion de conseil gratuite incluse.
