StepDrainer vide les portefeuilles crypto sur plus de 20 réseaux

Un outil de vol de crypto appelé StepDrainer siphonne de l’argent depuis des portefeuilles sur Ethereum, BNB Chain, Arbitrum, Polygon, et au moins 17 autres réseaux.

StepDrainer fonctionne comme un kit de malware en tant que service. Il utilise des pop-ups de portefeuilles Web3 faux mais réalistes pour tromper les gens afin qu’ils approuvent des transferts. Certains de ces écrans sont conçus pour ressembler à des connexions de portefeuille Web3Modal.

Une fois qu’une personne connecte son portefeuille, StepDrainer recherche d’abord les tokens les plus précieux et les envoie automatiquement vers des portefeuilles contrôlés par les attaquants, selon LevelBlue.

StepDrainer abuse des outils de contrats intelligents

StepDrainer abuse des vrais outils de contrats intelligents comme Seaport et Permit v2 pour afficher des pop-ups d’approbation de portefeuille qui semblent normaux. Mais les détails à l’intérieur de ces pop-ups sont faux.

Dans un cas, des chercheurs en cybersécurité ont découvert que les victimes voyaient un message fake indiquant qu’elles recevaient « +500 USDT », rendant l’approbation apparemment sûre.

StepDrainer charge son code malveillant en modifiant des scripts et obtient sa configuration à partir de comptes décentralisés sur la chaîne.

Cette configuration aide les attaquants à esquiver les outils de sécurité classiques car le code malveillant n’est pas stocké en un seul endroit fixe où il pourrait être facilement scanné.

StepDrainer n’est pas seulement le projet d’une seule personne. Des chercheurs ont indiqué qu’il existe un marché souterrain développé vendant des kits de drainers prêts à l’emploi, facilitant pour de nombreux attaquants l’ajout de fonctionnalités de vol de portefeuille à leurs escroqueries déjà en cours.

EtherRAT siphonne la crypto des utilisateurs Windows

Les chercheurs ont également découvert un autre malware, appelé EtherRAT. Il cible Windows via une version fake de l’outil d’administration réseau Tftpd64.

Selon LevelBlue, EtherRAT cache Node.js à l’intérieur d’un installeur fake, s’assure qu’il reste sur l’ordinateur via le registre Windows, et utilise PowerShell pour vérifier le système.

EtherRAT ciblait d’abord Linux. Maintenant, il apporte des astuces de malware et du vol de crypto sur Windows.

EtherRAT fonctionne discrètement en arrière-plan. Il vérifie des éléments comme les outils antivirus, les paramètres système, les détails du domaine, et le matériel avant de commencer à voler.

Selon un récent rapport de Cryptopolitan, plus de 500 portefeuilles Ethereum ont été vidés au cours des 24 dernières heures. L’attaquant a siphonné plus de $800K en actifs crypto, puis a échangé les fonds via ThorChain.

Beaucoup des portefeuilles vidés sont inactifs depuis plus de 7 ans, selon la recherche on-chain Wazz. Les fonds drainés ont été dirigés par une seule adresse de portefeuille contrôlée par l’attaquant.

Les chercheurs en cybersécurité conseillent aux utilisateurs connectant leurs portefeuilles à des sites inconnus de vérifier le domaine, de lire les détails de la transaction avant de signer, et de supprimer toute approbation de tokens illimitée.

Si vous lisez ceci, vous êtes déjà en avance. Restez-y avec notre newsletter.