Escroquerie aux Bitcoin : vas-y donnes-moi ton wallet !

Un pirate a mis en place ce mardi 21 avril une escroquerie dédiée à la cryptomonnaie. Dans son action, des dizaines d’accès à un serveur pour utiliser un outil soi-disant capable de générer des Bitcoin comme de la neige en hiver. Seulement, point de neige, mais une escroquerie rondement menée.

Mardi 21 avril, des dizaines d’étrangers messages diffusés sur Pastebin affichent des comptes de connexion à une machine connectée sur Internet. L’IP dirige les internautes vers un mystérieux serveur basé en Russie. Une seule et unique adresse IP. Seuls les identifiants de connexion changent dans les messages diffusés par le pirate. Ce malveillant a ouvert plusieurs comptes sur Pastebin, dont YAMLDUMPS, il y a 11 jours.

Ce 21 avril 2020, toutes les 30 minutes, un nouveau Pastebin est diffusé [cache Google]. Chaque ancien message est effacé. Les contenus sont toujours les mêmes. « User, pass, op, protocol« . Les plus curieux, et il y en a eu beaucoup, se sont lancés à l’assaut de cette étonnante invitation. Une fois connecté, en utilisant l’outil Putty par exemple, une connexion au serveur s’offre à l’internaute. Un serveur hébergé par justhost.ru, à Moscou.

Pour accéder à « l’information« , il fallait fournir un login et un mot de passe. Chaque document sur Pastebin en proposait deux.

Fait Intéressant, la connexion était coupée dès qu’une tentative d’en savoir plus sur cet accès était lancée par le visiteur. Autant dire que votre serviteur a perdu quelques proxies dans le sujet !

Une fois le login et le mot de passe fournis, le SSH Crypto Admin s’ouvrait aux yeux des utilisateurs. L’auteur de ce « tool » indiquait pouvoir permettre la récupération de Bitcoin via son outil. Il suffisait de lui envoyer 0.001btc pour valider le deal.

Comme vous l’aurez compris, un jeu de dupe. Pas de BTC pour les internautes arnaqués. Pour le pirate, cependant, quelques pigeons sont tombés dans le piège. Une cinquantaine d’euros (82$ CAS) escroqués retrouvés dans le portefeuille ouvert à cet effet : 3QYDvpvehWoWRg3vTTAcaxiDU6EcyQq99C.

Huit personnes piégées au moment de l’écriture de cet article. Une collecte bien légère pour autant d’énergie malveillante mise en place. Peut-être un entrainement.

Pendant ce temps …

Il y a quelques jours, la plateforme de cryptomonnaie chinoise Lendf.me se faisait ponctionner de 24,36 millions de dollars américains dans un piratage d’Ethereum, de Stablecoins et de Bitcoin. Quelques jours plus tard, le pirate rendait l’argent.

D’abord 2,79 millions ont été restitués le 20 avril. Le restant retournant chez Lendf le 21 avril. Pourquoi le pirate a-t-il changé d’avis ? Il a été retrouvé grâce à l’examen du flux de transactions sur la blockchain. Il faut dire aussi que la société chinoise a été très persuasive en indiquant, via plusieurs messages à destination du voleur : « Contactez-nous, pour votre meilleur futur« .

Sergej Kunz, PDG du site de transaction 1inch.exchange.com, indique que le pirate a laissé des métadonnées importantes sur son chemin lors de son business. Ce dernier étant passé par les serveurs de 1inch. Des informations, comme l’IP du pirate ou encore des données concernant son MAC.

Il n’y a pas eu besoin de plus pour faire revenir ce voyou dans le droit chemin. Le site Lendf est pour le moment fermé.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.