Sophos, leader mondial de la cybersécurité innovante « as a Service », publie les résultats portant sur une opération de grande ampleur de type Pig Butchering (ou « sh¨¡ zh¨± p¨¢n »), ayant utilisé de fausses plateformes d’échange de cryptomonnaies (Liquidity Pools ou réserves de liquidités) pour dérober plus de 1 million de dollars. L’étude, intitulée Latest Evolution of ‘Pig Butchering’ Scam Lures Victim in Fake Mining Scheme, détaille l’histoire de Frank*, l’une des victimes escroquées sur ces plateformes, ayant perdu 22 000 dollars en une semaine après avoir été contacté par une « personne » se faisant appeler « Vivian » via l’application de rencontre MeetMe.
En enquêtant sur le cas de Frank, l’équipe de Sophos X-Ops a découvert au total 14 noms de domaines en lien avec cette escroquerie, ainsi que des dizaines de sites frauduleux quasi identiques qui, à eux tous, ont rapporté à un cercle de cybercriminels plus de 1 million de dollars en l’espace de trois mois.
L’escroquerie tire profit de l’univers largement non réglementé de la finance décentralisée (DeFi) s’articulant autour d’applications d’échange de cryptomonnaies. Ces applications créent des « réserves de liquidités » pour divers types de cryptomonnaies, auxquelles les utilisateurs peuvent accéder pour procéder à des échanges d’une cryptomonnaie à une autre. Les participants de la plateforme reçoivent un pourcentage sur toute commission payée lors de chaque transaction, promesse d’un juteux retour sur investissement. Pour rejoindre une plateforme, les utilisateurs doivent tout d’abord signer en ligne un contrat intelligent qui permet à un autre compte (appartenant généralement aux opérateurs de la plateforme) d’accéder au portefeuille de l’utilisateur afin de faciliter les transactions. De fausses plateformes, de plus en plus utilisées par des cybercriminels pour siphonner les fonds de leurs cibles, fonctionnent grosso modo suivant le même principe. Cependant, à la différence des plateformes légitimes, les escrocs, à un moment ou à un autre, finissent par « ramasser la mise » en vidant l’ensemble de la réserve de liquidités pour leur propre compte.
« Lorsque nous avons découvert pour la première fois ces fausses réserves de liquidités, celles-ci étaient plutôt primitives et encore en cours de développement. Aujourd’hui, nous voyons des cyberescrocs exploiter ce type particulier de fraude aux cryptomonnaies en l’intégrant de manière transparente dans leur arsenal existant, l’une de leurs tactiques consistant par exemple à appâter leurs cibles via des applications de rencontre. Le fonctionnement des plateformes légitimes d’échange de cryptomonnaies n’étant pas toujours évident à comprendre, il est facile pour ces cybercriminels de tromper leurs victimes. Il existe même des kits d’outils qui leur simplifient la tâche. Alors que, l’an passé, Sophos avait pisté quelques dizaines de ces réserves de liquidités frauduleuses, nous en dénombrons à présent plus de 500 », explique Sean Gallagher, chercheur principal en menaces chez Sophos.
Sophos X-Ops a été informé pour la première fois de cette opération de minage de liquidités par une victime prénommée Frank*. Celui-ci était entré en contact, via l’application de rencontre MeetMe, avec une personne se faisant appeler Vivian, prétendument de nationalité allemande et expatriée à Washington pour son travail. Plusieurs semaines durant, Frank a dialogué avec Vivian, laquelle entrecoupait ses promesses de relation amoureuse avec des tentatives répétées de le convaincre Frank d’investir dans des cryptomonnaies.
Frank a fini par ouvrir un compte Trust Wallet (une application légitime permettant de convertir des dollars de cryptomonnaie) puis a cliqué sur le lien pointant vers la réserve de liquidités conseillée par Vivian. Or il s’agissait en réalité d’un site frauduleux usurpant la marque d’Allnodes, une plateforme réputée de finance décentralisée. Entre le 31 mai et le 5 juin 2023, Frank a investi 22 000 dollars dans ce dispositif. À peine trois jours plus tard, les escrocs ont vidé son portefeuille numérique. Frank, cherchant à récupérer son argent, s’est retourné vers Vivian, qui a alors répondu qu’il lui fallait investir davantage encore dans la plateforme pour rentrer dans ses fonds et recevoir ses « récompenses ». Dans l’attente que sa banque autorise un virement vers Coinbase, Frank a cherché à en savoir plus et est tombé sur un article de Sophos à propos du minage de liquidités. C’est alors qu’il a sollicité l’aide de Sean Gallagher.
Même après que Sean Gallagher eut indiqué à Frank de bloquer Vivian, celle-ci a fini par le retrouver sur Telegram et a renouvelé ses tentatives pour l’inciter à « poursuivre leur investissement », allant jusqu’à lui envoyer un long courrier destiné à l’émouvoir et très vraisemblablement rédigé par une IA générative.
Ce type d’escroquerie est particulièrement difficile à déceler, car il ne nécessite aucune installation de logiciel malveillant sur la machine de la victime et ne fait même pas appel à une application factice, contrairement à certaines autres escroqueries CryptoRom. En l’occurrence, cette fausse réserve de liquidités fonctionnait en totalité via l’application légitime Trust Wallet. À un moment donné, Frank a même tenté de contacter le support client de Trust Wallet pour recouvrer son argent, mais il s’est en fait adressé à un faux contact à partir du site frauduleux de la réserve de liquidités. Il n’existe aucune réglementation pour ces plateformes, qu’elles soient légitimes ou non. Ces escroqueries ne réussissent que par des techniques d’ingénierie sociales et leurs auteurs savent se montrer persévérants. C’est ainsi que Vivian a continué de harceler Frank des semaines après qu’il l’eut bloquée sur WhatsApp.
« La seule façon de se prémunir contre ces escroqueries est de rester vigilant, en étant conscient de leur existence et de leur mode opératoire. C’est pourquoi Frank a souhaité faire connaître son histoire. Les utilisateurs doivent se méfier lorsqu’une personne inconnue tente de les contacter soudainement via une application de rencontre ou un réseau social, a fortiori si cette « personne » souhaite déplacer la conversation vers une plateforme comme WhatsApp puis propose d’investir dans une cryptomonnaie », conclut Sean Gallagher.
Sophos a partagé ses données concernant cette affaire avec Chainalysis et Coinbase, ainsi que d’autres professionnels de la veille des menaces sur la scène des cryptomonnaies, qui tous poursuivent les investigations. Les utilisateurs qui pensent être peut-être victimes d’une tentative de Pig Butchering ou d’une fraude au minage de liquidités sont invités à contacter Sophos, de même que les autorités locales, afin d’obtenir de l’aide.