Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Enquêtes TRM
4 novembre 2021

DeFi est la cible d'une application de bureau malveillante

Perspectives TRMEnquêtes TRM
DeFi est la cible d'une application de bureau malveillante

Note de la rédaction : @qtmosesun spécialiste externe qui consulte sur les enquêtes relatives aux cryptomonnaies, a contribué à ce rapport.

Que s'est-il passé ?

Sur une base continue, TRM Labs suit les acteurs de la menace impliqués dans le phishing, les exploits contractuels et l'abus de crypto-monnaies à des fins financières. Récemment, une campagne active de logiciels malveillants ciblant la finance décentraliséeDeFi par le biais d'une application de bureau malveillante a visé les utilisateurs de Mango Markets.

Mango Markets est une organisation autonome décentralisée qui propose des marges au comptant, des contrats à terme perpétuels, ainsi que des emprunts et des prêts via mango[.]markets.

Le 6 octobre 2021, des messages directs ont été envoyés aux membres du groupe Discord officiel de Mango, les invitant à se rendre à l'adresse suivante https://mangomarkets[.]net, affirmant qu'une application de bureau Mango avait été mise en ligne. Les membres de Mango qui ont reçu ce message direct n'avaient probablement pas configuré leurs paramètres de confidentialité Discord pour empêcher les messages directs des membres du serveur.

Cela pourrait ressembler au début d'une histoire familière pour les utilisateurs de crypto-monnaies habitués à lire sur les escroqueries de phishing associées aux chutes de NFT ou aux escroqueries du site web de l'application DeFi , mais heureusement, l'équipe Mango a réagi rapidement et a notifié à ses followers sur Twitter que l'application de bureau Mango était une escroquerie. Par conséquent, il semble que des dommages importants aient été évités, car personne à ce jour ne prétend avoir été victime de l'escroquerie l'application de bureau.

Figure : Capture d'écran de communications envoyées par un escroc se faisant passer pour un responsable de Mango

Néanmoins, il y a beaucoup à apprendre de cette affaire :

1. @qtmoses présente ici les meilleures pratiques pour sécuriser votre compte Discord afin de lutter contre les spammeurs.

2. Le déballage du logiciel malveillant de l'application de bureau - que nous faisons ci-dessous - permettra, nous l'espérons, aux utilisateurs de crypto-monnaie de garder à l'esprit les risques et les signaux d'alarme de ce type d'escroquerie à l'avenir.

Anatomie d'une fausse application de bureau

Dans ce cas, l'application d'escroquerie bureau est un programme malveillant identifié comme un cheval de Troie d'accès à distance (RAT). Les RAT permettent aux pirates de voler des informations sur les ordinateurs des victimes. Dans le cas de la fausse application de bureau Mango, le RAT pourrait conduire au vol d'informations sensibles associées aux comptes de crypto-monnaie de toute personne ayant téléchargé la fausse application.

Lorsque les victimes potentielles visitent le faux site de Mango, elles peuvent immédiatement constater que quelque chose est différent. Au lieu de trouver le bouton "Trade" habituel, l'utilisateur trouve un bouton "Download App" sur le côté droit du site. Le faux site de Mango affirme qu'une nouvelle version de l'application a été publiée et qu'elle est "rapide comme l'éclair, presque sans frais et sans autorisation". Tout ce qui est associé au faux site web de Mango est une copie conforme du site web original de Mango.

À ce jour, Mango n'a publié que son application web, et les applications de bureau créées par la communauté n'ont pas encore été lancées. Étant donné la nature soudaine de ce changement qui n'avait pas été annoncé, la plupart des utilisateurs ont pris soin de le signaler immédiatement et le canal de signalement dans Discord est rapidement devenu un cimetière de comptes de spammeurs bannis.

Figure : Capture d'écran du faux site web Mango annonçant la sortie de l'application

Analyse des logiciels malveillants

Les personnes assez courageuses pour télécharger la fausse application Mango se sont retrouvées avec un exécutable de 118 Mo. L'ampleur de la taille téléchargée aurait pu jouer en faveur des escrocs, car elle semble raisonnable par rapport à la taille des applications actuelles. Ce qu'ils n'ont peut-être pas compris, cependant, c'est que la base d'utilisateurs de DeFi n'est probablement pas orientée vers Windows OS, comme c'est le cas sur le marché global des OS.

Figure : La capture d'écran ci-dessus représente le fichier téléchargé de la fausse application Mango.

À ce stade, on peut en déduire qu'il s'agit d'un exécutable malveillant et, pour dissiper tout doute, un test rapide effectué à l'aide de VirusTotal a révélé que 11 (14 à l'heure où nous écrivons ces lignes) des 66 produits signalaient cet exécutable comme étant malveillant.

Lors de l'exécution de la fausse application de bureau Mango, on s'attendait à ce qu'une interface utilisateur Mango légitime avec un portefeuille malveillant vole du code ou un simple cheval de Troie. Nous avons alors vu l'activité monter en flèche et Wireshark était rempli de paquets.

Lors de l'exécution du gestionnaire de ressources de Windows, un nouveau processus de l'espace utilisateur nommé "hdscanner.exe" est apparu, avec une connexion réseau active. Lors de l'inspection du fichier, certaines métadonnées correspondaient à celles du fichier initial, dont il était désormais évident qu'il s'agissait simplement d'un programme d'installation/décompactage.

Figure : Capture d'écran de Wireshark et de Windows Resource Manager

L'étape suivante a consisté à filtrer les paquets dans Wireshark sur ceux du processus suspect. Dans un premier temps, il est apparu que l'application malveillante établissait une connexion TLS (transport layer security) et que tout ce qui suivait était crypté. Dans ce qui pourrait être un jour de chance pour analyser le fichier malveillant avant qu'une connexion ne soit établie, le serveur a envoyé ce qui semblait être une poignée de main et s'est identifié en texte clair comme étant le centre de commande et de contrôle de BitRAT.

Figure : Capture d'écran de BitRAT

Le logiciel malveillant BitRAT peut être acheté sur divers forums cybercriminels ou directement sur la page de médias sociaux du créateur présumé. Une fois que le logiciel malveillant BitRAT est installé sur la machine d'un utilisateur, il a la capacité de fonctionner comme un enregistreur de frappe qui peut voler des mots de passe tout en accédant à distance à votre machine.

Si vous avez téléchargé le fichier malveillant, il est essentiel que vous preniez des mesures pour supprimer l'application de votre machine et sécuriser vos comptes cryptographiques immédiatement.

TRM Labs continue de surveiller les menaces ciblant le secteur des crypto-monnaies et fournira des mises à jour dès qu'elles seront disponibles.

À propos de TRM Labs

TRM fournit une blockchain intelligence pour aider les institutions financières, les entreprises de crypto-monnaies et les organismes publics à détecter, enquêter et gérer le risque de fraude et de criminalité financière lié aux crypto-monnaies. La plateforme de gestion des risques de TRM comprend des solutions pour la surveillance des transactions et le filtrage des portefeuilles, la diligence raisonnable VASP et des outils d'enquête pour retracer les flux de fonds. TRM est le seul outil à proposer des analyses inter-chaînes, couvrant 23 blockchains et plus de 900 000 actifs.

TRM est basé à San Francisco, CA, et recrute dans les domaines de l'ingénierie, du produit, des ventes, des enquêtes et de la science des données. Pour en savoir plus, visitez le site www.trmlabs.com. Pour signaler une piste à Global Investigations, envoyez-nous un courriel à investigations@trmlabs.com.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
18 février 2021

Faites attention à ce que vous téléchargez : Comment éviter une cyberattaque de la Corée du Nord

flèche vers la droite
28 octobre 2021

GAFI Orientations finales

flèche vers la droite
31 août 2021

Hurts the SOL : Considérations de sécurité pour les NFT Drops

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT