Des escrocs utilisent Inferno Drainer pour voler 43 000 $ aux utilisateurs de CoinMarketCap

Une opération coordonnée de vol de cryptomonnaies ciblant les utilisateurs de CoinMarketCap a été révélée après la fuite d'images provenant d'une chaîne Telegram appelée TheCommsLeaks. L'attaque utilisait une invite de connexion au portefeuille convaincante intégrée à l'interface de CoinMarketCap, incitant les utilisateurs à lui donner accès à leur portefeuille. Résultat ? Plus de 43 000 dollars de cryptomonnaies ont été drainés en quelques heures.

Selon Tammy H, chercheuse principale en renseignement sur les menaces et enquêtrice certifiée sur le Dark Web chez Flare.io, une société de renseignement sur la cybercriminalité basée au Canada, l'attaque a été menée à l'aide d' Inferno Drainer , une boîte à outils connue pour vider les portefeuilles et qui a été liée à des campagnes précédentes.

La méthode était simple mais efficace. Les utilisateurs visitant CoinMarketCap recevaient une invite leur demandant de « Vérifier leur portefeuille » pour accéder aux fonctionnalités. L'invite ressemblait aux pop-ups légitimes de la plateforme, ne laissant aucun doute. Cependant, une fois connectés, les portefeuilles étaient discrètement vidés de leurs actifs.

Une source citée dans la fuite affirmait que l'invite apparaissait sur presque toutes les pages du site. « Faites en sorte qu'elle apparaisse sur toutes les pages », pouvait-on lire dans un message. « La plupart des gens ont des coins épinglés… dès qu'ils consultent le site. »

L'attaquant semblait concentré sur l'amélioration de la visibilité et l'optimisation des connexions au portefeuille. Certains rapports suggèrent que même le bouton de connexion a commencé à dysfonctionner, car il était affiché trop souvent.

Selon l'analyse de Tommy H, la chaîne Telegram TheCommsLeaks a commencé à partager des informations vers 19h30, heure locale, le 20 juin. Les messages comprenaient des captures d'écran montrant un tableau de bord en direct utilisé par l'attaquant. Ces visuels affichaient les connexions au portefeuille, les transferts de jetons et les valeurs totales drainées en temps réel.

Les premiers chiffres indiquaient 67 attaques réussies et plus de 1 300 connexions de portefeuille. Le gain avait déjà dépassé les 21 000 $ lors de la première vague. À la fin de la campagne, le montant total avait atteint 43 266 $, provenant de 110 victimes.

Parmi les jetons détournés figuraient SOL, XRP, EVT et des cryptomonnaies plus petites comme PENGU et SHDW. Une transaction portant sur 1 769 $ en XRP était liée à un portefeuille visible sur BscScan, confirmant publiquement le vol.

Cependant, le chercheur a constaté que toutes les tentatives n'ont pas abouti. Les journaux de la boîte à outils de l'attaquant ont également révélé plusieurs échecs de drainage, généralement dus à des portefeuilles contenant des jetons non pris en charge ou des soldes négligeables.

Suite aux spéculations croissantes quant à l'origine de l'attaque, CoinMarketCap a directement abordé le problème. Dans un communiqué publié sur X, l'entreprise a indiqué qu'une image de gribouillage affichée sur sa page d'accueil avait déclenché un code malveillant via un appel d'API intégré. Cette vulnérabilité a provoqué l'affichage d'une invite de portefeuille non autorisé pour certains utilisateurs.

L'entreprise a confirmé que son équipe de sécurité est intervenue immédiatement après avoir détecté le problème. Le contenu malveillant a été supprimé et les systèmes internes ont été corrigés pour empêcher de nouveaux abus.

« Tous les systèmes sont désormais pleinement opérationnels et CoinMarketCap est sûr et sécurisé pour tous les utilisateurs », a déclaré la société, ajoutant qu'elle continue de surveiller la situation et de fournir un soutien.

Cet incident illustre comment de petites modifications d'interface, même celles impliquant un élément aussi inoffensif qu'un simple dessin sur la page d'accueil, peuvent être exploitées pour causer des dommages à grande échelle. Si l'utilisation de l'environnement d'une plateforme légitime pour déployer des messages malveillants est extrêmement préoccupante, elle illustre la facilité avec laquelle la confiance dans des interfaces familières peut être détournée.

Lors d'un incident distinct rapporté par Hackread la semaine dernière, des escrocs ont exploité les annonces de recherche pour inciter les utilisateurs à appeler de faux numéros d'assistance affichés sur des sites web réels comme Apple et PayPal. Bien que techniquement sans rapport, ces deux cas illustrent comment les attaquants s'appuient sur les préjugés des utilisateurs quant aux interactions en ligne sécurisées.

Pour l'instant, il est conseillé aux utilisateurs d'éviter de connecter leurs portefeuilles directement via les fenêtres contextuelles et de vérifier si les invites sont conformes aux recommandations officielles de la plateforme. Si une information semble familière, cela ne signifie pas forcément qu'elle est sécurisée.