Comment des hackers ont volé 22 millions de dollars des portefeuilles Bitcoin d’Electrum

Qu’il s’agisse d’attaques de logiciels malveillants, de cryptojacking ou de vecteurs d’attaque, les entités malveillantes continuent à trouver des moyens de voler des cryptomonnaies. Contre ces cybercriminels, une vigilance constante et une évaluation régulière des mesures de sécurité restent les meilleures formes de défense.

Un vol de Bitcoin via de fausses mises à jour de portefeuilles Electrum

Les utilisateurs de portefeuilles Electrum restent vulnérables à un vecteur d’attaque. Récemment, cette méthode a permis de leur voler environ 22 millions de dollars en BTC. Selon la plateforme d’information ZDNet, une technique découverte en 2018 est toujours utilisée par les pirates informatiques. Cet infiltration particulière touche les utilisateurs de versions plus anciennes d’Electrum. Les pirates utiliseraient de faux serveurs Electrum pour envoyer des mises à jour malveillantes aux propriétaires d’anciennes versions. Si la victime visée installe la mise à jour, une fenêtre contextuelle apparaît, demandant un mot de passe à usage unique (OTP). En saisissant ce mot de passe sur la mise à jour malveillante du portefeuille, l’attaquant obtient l’autorisation de soutirer des fonds à l’utilisateur. Bien qu’il s’agisse d’un vecteur d’attaque connu, les cybercriminels continuent à parvenir à leurs fins. En août dernier, BeInCrypto.com a signalé le cas d’une victime ayant perdu 16 millions de dollars en Bitcoin à cause de ce même malware. En mai 2019, 4,6 millions de dollars avaient également été volés aux utilisateurs d’Electrum, avec plus de 150 000 serveurs infectés. Ce vecteur d’attaque fonctionne car l’architecture ouverte d’Electrum permet à n’importe qui de créer un serveur Electrum. Sur la plupart des portefeuilles, l’application hôte elle-même contrôle et gère les serveurs. Il est donc possible pour des acteurs malhonnêtes d’envoyer continuellement des mises à jour chargées de logiciels malveillants à des victimes qui ne se doutent de rien. Ces mises à jour redirigent les utilisateurs vers le téléchargement du portefeuille Electrum à partir de sources non officielles. L’équipe de développement d’Electrum a, pour sa part, tenté de remédier au problème en mettant sur liste noire les serveurs associés à ces attaques de logiciels malveillants. Elle a également publié des mises à jour qui empêchent les administrateurs de serveurs d’envoyer des fenêtres contextuelles HTML aux propriétaires de portefeuilles. Les cybercriminels peuvent toutefois créer de nouveaux serveurs, et les utilisateurs d’anciens portefeuilles Electrum restent vulnérables à ce type d’attaque. Comme toujours, les propriétaires de portefeuilles doivent rester vigilants lorsqu’ils exécutent des mises à jour de leurs applications et ne devraient interagir qu’avec les sites web officiels du projet.