Une arnaque à la fausse mise à jour a permis de derober 22 millions de dollars en bitcoin

Une technique simple a permis à des groupes cybercriminels de voler plus de 22 millions de dollars en cryptomonnaie à des utilisateurs de l’application de portefeuille Electrum ; une enquête de ZDNet a permis de découvrir cette technique.

Cette technique particulière a été vue pour la première fois en décembre 2018. Depuis lors, ce mode d’attaque a été réutilisé dans de multiples campagnes au cours des deux dernières années.

ZDNet a retrouvé de nombreux comptes Bitcoin sur lesquels des criminels ont recueilli des fonds volés lors d’attaques menées au cours des années 2019 et 2020, certaines attaques ayant eu lieu en septembre 2020.

Les utilisateurs de l’application Electrum Bitcoin wallet ont reçu une demande de mise à jour inattendue via un message popup : ils ont mis à jour leur portefeuille, et des fonds ont immédiatement été volés et envoyés sur le compte Bitcoin d’un attaquant.

Cette technique fonctionne grâce au fonctionnement interne de l’application Electrum et de son infrastructure de base. Pour traiter toute transaction, les portefeuilles Electrum sont conçus pour se connecter à la blockchain bitcoin par le biais d’un réseau de serveurs Electrum – connu sous le nom d’ElectrumX.

Image : Peter Kacherginsky

Cependant, si certaines applications de portefeuille contrôlent qui peut gérer ces serveurs, les choses sont différentes dans l’écosystème ouvert d’Electrum, où chacun peut mettre en place un serveur passerelle ElectrumX.

Depuis 2018, les groupes cybercriminels profitent de cette faille pour faire tourner des serveurs malveillants et attendre que les utilisateurs se connectent de manière aléatoire à leurs systèmes.

Lorsque cela se produit, les attaquants demandent au serveur d’afficher une fenêtre contextuelle sur l’écran de l’utilisateur, lui demandant d’accéder à une URL et de télécharger et d’installer une mise à jour de l’application Electrum Wallet.

Image : SoberNight

Image : Peter Kacherginsky

Habituellement, ce lien de téléchargement de mise à jour n’est pas issu du site officiel d’Electrum, situé à electrum.org, mais de domaines similaires ou des dépôts GitHub.

Si les utilisateurs ne font pas attention à l’URL, ils installent une version malveillante du portefeuille Electrum, qui, la prochaine fois que l’utilisateur essaiera de l’utiliser, lui demandera un code d’accès à usage unique (OTP).

Normalement, ces codes ne sont demandés qu’avant l’envoi des fonds, et non au démarrage du portefeuille Electrum. Si les utilisateurs saisissent le code demandé ils donnent en fait l’autorisation officielle au portefeuille malveillant de transférer tous leurs fonds sur le compte d’un attaquant.

Depuis décembre 2018, les utilisateurs ont signalé une dizaine de comptes utilisés dans ce qui est actuellement connu sous le nom de “fake Electrum update scam (arnaque de mise à jour Electrum)”.

Ces portefeuilles contiennent actuellement 1980 bitcoin, ce qui représente environ un peu plus de 22 millions de dollars au taux actuel. Si l’on tient compte des 202 bitcoins volés dans notre article de décembre 2018, cela porte le total à plus de 24,6 millions de dollars volés grace à cette technique.

Cependant, il faut dire qu’une grande partie de ces fonds semble avoir été volée lors d’un seul incident en août, lorsqu’un utilisateur a déclaré avoir perdu 1 400 bitcoin (~15,8 millions de dollars) après avoir mis à jour un portefeuille Electrum.

Depuis l’apparition de cette technique fin 2018, l’équipe Electrum a pris plusieurs mesures pour atténuer cette attaque.

Ils ont ainsi mis en place un système de liste noire de serveurs sur les serveurs Electrum X pour bloquer les ajouts malveillants à leurs réseaux. Ils ont également ajouté une mise à jour empêchant les serveurs de montrer aux utilisateurs finaux des popups au format HTML.

Néanmoins, un serveur malveillant passe parfois entre les mailles du filet, et l’attaque fonctionne toujours très bien pour les utilisateurs qui ont recours aux anciennes versions de l’application de portefeuille Electrum pour gérer leurs fonds.

Source : “ZDNet.com”