StepDrainer vide les portefeuilles crypto sur plus de 20 réseaux
Un outil de vol de cryptomonnaies appelé StepDrainer vide des portefeuilles sur Ethereum, BNB Chain, Arbitrum, Polygon et au moins 17 autres réseaux.
StepDrainer fonctionne comme un kit malware-as-a-service. Il utilise de fausses pop-ups de portefeuille Web3 mais réalistes pour inciter les utilisateurs à approuver des transferts. Certains de ces écrans sont conçus pour ressembler à des connexions de portefeuille Web3Modal.
Une fois qu'une personne connecte son portefeuille, StepDrainer recherche d'abord les tokens les plus précieux et les envoie automatiquement vers des portefeuilles contrôlés par les attaquants, selon LevelBlue.
StepDrainer détourne des outils de Smart Contract (Contrat Intelligent)
StepDrainer détourne de véritables outils de Smart Contract (Contrat Intelligent) comme Seaport et Permit v2 pour afficher des pop-ups d'approbation de portefeuille qui semblent normales. Mais les détails à l'intérieur de ces pop-ups sont faux.
Dans un cas, des chercheurs en cybersécurité ont découvert que des victimes voyaient un faux message indiquant qu'elles recevaient « +500 USDT », donnant ainsi l'apparence que l'approbation était sûre.
StepDrainer charge son code malveillant via des scripts changeants et récupère sa configuration depuis des comptes décentralisés on-chain.
Cette configuration aide les attaquants à contourner les outils de sécurité habituels, car le code malveillant n'est pas stocké dans un endroit fixe où il pourrait être facilement analysé.
StepDrainer n'est pas le projet d'une seule personne. Les chercheurs ont indiqué qu'il existe un marché souterrain développé vendant des kits de drainer prêts à l'emploi, facilitant ainsi l'ajout de fonctionnalités de vol de portefeuille par de nombreux attaquants dans des escroqueries qu'ils opèrent déjà.
EtherRAT siphonne des cryptomonnaies des utilisateurs Windows
Les chercheurs ont également découvert un autre malware en plus de StepDrainer, appelé EtherRAT. Il cible les utilisateurs Windows via une fausse version de l'outil d'administration réseau Tftpd64.
Selon LevelBlue, EtherRAT dissimule Node.js dans un faux installateur, s'assure de sa persistance sur l'ordinateur via le registre Windows et utilise PowerShell pour analyser le système.
EtherRAT ciblait initialement Linux. Il apporte désormais ses techniques de malware et le vol de cryptomonnaies sur Windows.
EtherRAT s'exécute silencieusement en arrière-plan. Il vérifie des éléments tels que les outils antivirus, les paramètres système, les informations de domaine et le matériel avant de commencer à voler.
Selon un récent rapport de Cryptopolitan, plus de 500 portefeuilles Ethereum ont été vidés au cours des dernières 24 heures. L'attaquant a siphonné plus de 800 000 $ en actifs crypto, puis a échangé les fonds via ThorChain.
Bon nombre des portefeuilles vidés étaient inactifs depuis plus de 7 ans, selon les recherches on-chain de Wazz. Les fonds volés ont été dirigés vers une seule adresse de portefeuille contrôlée par l'attaquant.
Les chercheurs en cybersécurité conseillent aux utilisateurs qui connectent leurs portefeuilles à des sites inconnus de vérifier le domaine, de lire les détails de la transaction avant de signer et de supprimer toutes les approbations de tokens illimitées.
Il existe un juste milieu entre laisser son argent en banque et tenter sa chance dans la crypto. Commencez avec cette vidéo gratuite sur la finance décentralisée.
Vous aimerez peut-être aussi
'Maudits soient ce régime en enfer' : Tollé après que le DHS de Trump bulldoze un site culturel vieux de plusieurs millénaires
Un présentateur de journal télévisé confronte l'hypocrisie d'un élu républicain dans un démontage ridicule
