Les attaquants volent en masse les comptes cryptographiques de Coinbase, MetaMask, Crypto.com et KuCoin. 2FA n’est pas non plus un obstacle pour les pirates.

À partir de Coinbase, les attaquants d’une nouvelle campagne de phishing ciblent désormais également les comptes MetaMask, Crypto.com et KuCoin. Ils contournent spécifiquement l’authentification à deux facteurs et communiquent avec leurs victimes via un chat d’assistance frauduleux. En dernier recours, ils abusent même de TeamViewer pour faire confiance à leurs propres appareils sur les plateformes cryptographiques.

Les comptes Coinbase, MetaMask, Crypto.com et KuCoin à risque

Les attaquants abusent actuellement du service d’application Web de Microsoft Azure pour héberger des sites Web de phishing. La campagne de vol de crypto cible les comptes d’utilisateurs Coinbase, MetaMask, Crypto.com et KuCoin. Les attaquants contournent l’authentification à deux facteurs des portails respectifs de manière ciblée.

Si une personne cible visite l’un de ces sites Web de phishing en cliquant sur un lien dans un e-mail de phishing, une fenêtre de discussion supposée apparaît là-bas qui prétend « service client” pour être connecté à la plateforme crypto. En fait, cependant, il y a un escroc à l’autre bout qui guide sa victime à travers un processus de manière ciblée.

Les chercheurs en sécurité surveillent la campagne, initialement destinée exclusivement à Coinbase, depuis 2021. Cependant, selon BleepingComputer, les attaquants ont ensuite étendu leur arnaque à d’autres plates-formes telles que MetaMask, Crypto.com et KuCoin.

2FA n’est pas non plus un obstacle pour les attaquants

Même les comptes protégés par l’authentification à deux facteurs (2FA) ne sont pas à l’abri de cette campagne. Parce qu’il y a aussi un faux formulaire d’inscription sur les pages de phishing qui vous demande d’entrer un code 2FA.

Pour ce faire, les attaquants transmettent les données d’accès saisies, par exemple pour Coinbase, au site Web légitime afin que la victime reçoive le code 2FA correspondant (par exemple par SMS) et le saisisse dans le formulaire d’inscription frauduleux. Cela permet aux escrocs de prendre éventuellement le contrôle du compte d’utilisateur de leur cible.

Bien sûr, le processus est un peu différent pour les attaques de phishing sur les comptes MetaMask. Parce que c’est là que les escrocs récupèrent la phrase de récupération de leur victime. Comme vous n’avez pas besoin de codes 2FA pour cela, le processus est un peu plus simple dans l’ensemble.

Demande de données de connexion pour les comptes Coinbase & Co. via le chat d’assistance

À l’étape suivante, l’utilisateur reçoit un faux message d’erreur lui indiquant que, par exemple, son compte Coinbase a été bloqué en raison d’une activité suspecte. Afin de clarifier la question, le site Web trompeur fait référence au chat d’assistance, que les attaquants utilisent pour éventuellement communiquer avec leur victime.

Là, les pirates demandent parfois à nouveau les données d’accès si les données saisies à l’origine étaient incorrectes. En plus des noms d’utilisateur et des mots de passe, ils demandent également d’autres codes 2FA si nécessaire. Incidemment, l’employé de support supposé essaie de reprendre le compte en saisissant les données de connexion sur le site Web légitime.

Si la prise de contrôle est finalement réussie, les attaquants initient des virements et vident ainsi le porte-monnaie de leur victime. Pendant ce temps, le chat d’assistance reste actif si la personne cible doit confirmer des transactions individuelles de Coinbase & Co.

TeamViewer fait aussi partie de la boîte à outils des attaquants

Afin de stocker leur propre appareil comme digne de confiance sur la plate-forme cryptographique respective, les attaquants demandent d’abord l’accès via TeamViewer à leur personne cible. Ils demandent ensuite à la victime de se connecter à son compte crypto.

Pendant que l’utilisateur saisit son mot de passe, les escrocs insèrent un caractère aléatoire qui entraîne une erreur de connexion depuis la plateforme, telle que Coinbase. Afin de vérifier les données de connexion, les cybercriminels demandent alors à leur victime de coller leurs données d’accès dans le chat TeamViewer.

Enfin, les attaquants saisissent les données d’accès, suppriment le caractère auto-inséré du mot de passe et enregistrent leur propre appareil sur la plate-forme respective en arrière-plan. Les fraudeurs utilisent alors également la session TeamViewer ouverte pour obtenir le lien de confirmation d’inscription envoyé par la plateforme crypto à la personne cible.