Le rapport indique également l’introduction de 7 nouvelles applications frauduleuses sur l’Apple Store et Google Play Store

OXFORD, U.K. — août 2, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », dévoile de nouvelles informations sur les escroqueries de type CryptoRom dans le cadre de la publication de son nouveau rapport intitulé « Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users ». Ce type d’escroquerie appartient à la famille du pig butchering (du chinois shā zhū pán), conçu pour inciter les utilisateurs d’applications de rencontre à investir dans de fausses cryptomonnaies.

Depuis le mois de mai, Sophos X-Ops a observé le perfectionnement des techniques des escrocs CryptoRom, comme notamment l’ajout à leur arsenal d’un outil de discussion via une IA semblable à ChatGPT. Ces escrocs ont également développé leurs tactiques de coercition en prétendant que les comptes crypto de leurs victimes ont été piratés et qu’il leur faut avancer des fonds supplémentaires.

Sophos X-Ops a également découvert que les escrocs ont été en mesure d’introduire discrètement sept nouvelles applications frauduleuses d’investissement en cryptomonnaie dans les boutiques en ligne d’Apple et Google Play, élargissant ainsi le nombre de victimes potentielles.

En 2022, aux États-Unis, les fraudes à l’investissement ont été à l’origine de plus de pertes financières que toutes les autres escroqueries rapportées par le grand public au Centre de plaintes concernant les infractions sur Internet du FBI (IC3) et ont représenté un total de 3,31 milliards de dollars. Les fraudes impliquant les cryptomonnaies, y compris le pig butchering, représentent la majeure partie de ces escroqueries, enregistrant une hausse de 183 % depuis 2021 pour atteindre 2,57 milliards de dollars de pertes déclarées l’an passé.

Sophos X-Ops a découvert que les attaquants utilisaient un outil de discussion d’IA – probablement ChatGPT – lorsqu’une victime a contacté l’équipe. Après avoir initié un contact avec la victime sur Tandem, une application d’échange linguistique également utilisée comme appli de rencontre, l’escroc a persuadé la victime de poursuivre leur conversation sur WhatsApp. La victime a commencé à avoir des soupçons après avoir reçu un long message dont certaines parties avaient clairement été écrites par une IA qui s’appuie sur un grand modèle de langage ou Large Language Model (LLM).

Capture d’écran montrant l’utilisation d’une IA basée sur un grand modèle de langage pour envoyer des réponses.

« Depuis qu’OpenAI a annoncé la mise en ligne de ChatGPT, des spéculations ont vu le jour concernant l’utilisation du programme par les cybercriminels pour leurs activités malveillantes. Nous sommes désormais en mesure d’affirmer que c’est bien le cas, du moins concernant les arnaques de pig butchering. L’un des principaux défis que rencontrent les attaquants avec les escroqueries de type CryptoRom qui consiste à entretenir des conversations de nature romantique avec leurs cibles qui soient à la fois durables et convaincantes. Ces discussions sont rédigées la plupart du temps par des ‘dactylos’[AC1] , principalement basés en Asie et qui sont donc confrontés à la barrière de la langue. À l’aide d’un outil comme ChatGPT, il devient beaucoup plus facile d’entretenir ces conversations, car cela permet de minimiser le travail des escrocs tout en les rendant plus authentiques. Cela donne également à ces ‘dactylos’ la possibilité de discuter simultanément avec de multiples victimes, » déclare Sean Gallagher, principal threat researcher chez Sophos.

Sophos X-Ops a également découvert une nouvelle tactique utilisée par les escrocs pour extorquer des sommes d’argent supplémentaires. Habituellement, lorsque les victimes d’escroqueries de type CryptoRom tentent de convertir leurs « bénéfices » en argent utilisable, les escrocs leur demandent de payer une taxe correspondant à 20 % des fonds avant tout retrait. Toutefois, une victime récente a révélé qu’après avoir payé la « taxe » de retrait, l’escroc lui avait affirmé que les fonds avaient été « piratés » et qu’il lui faudrait verser de nouveau 20 % de la somme afin de recevoir son argent.

La suite de l’enquête menée par Sophos X-Ops a révélé l’existence de sept applications frauduleuses d’investissement dans les cryptomonnaies au sein du Google Play Store et de l’Apple Store. Ces applications arborent des descriptions inoffensives sur les boutiques en ligne (BerryX, par exemple, se présente comme une application de lecture). Toutefois, dès qu’un utilisateur ouvre l’application, il entre sur une interface frauduleuse d’échange de cryptomonnaie.

Afin de contourner les contrôles de l’ App Store d’Apple, les développeurs utilisent les mêmes techniques que celles déjà mentionnées par Sophos dans son rapport datant de février 2023. Ils soumettent l’application en utilisant du contenu légitime habituel. Puis, une fois l’application approuvée et publiée, ils modifient le serveur hébergeur en intégrant du code afin d’afficher l’interface frauduleuse.

Une grande partie de ces sept nouvelles applications ont recyclé les mêmes templates et descriptions, ce qui laisse penser que seules une ou deux organisations de pig butchering sont à l’origine de ce stratagème.

« Avant de pouvoir intégrer leurs applications à l’Apple Store, les fraudeurs de type CryptoRom devaient auparavant trouver un moyen technique pour contourner les contrôles et cibler les utilisateurs d’iOS qui pouvait alerter les victimes en cas d’incident. Désormais, il leur est beaucoup plus facile de cibler les utilisateurs d’iPhones, ce qui leur permet d’étendre leur réservoir de victimes potentielles. Ces applications sont faciles à recycler et à réutiliser. En effet, BerryX semble faire partie des applications frauduleuses que nous avons découvertes et bloquées cette année. Même si nous avons alerté Google et Apple de la présence de ces nouvelles applications, il est probable que d’autres verront le jour. Ces fraudeurs n’ont pas d’états d’âme. Désormais, ils vont jusqu’à prétendre que les comptes de leurs victimes ont été piratés pour leur extorquer davantage d’argent. À l’avenir, ils vont probablement mettre au point de nouvelles méthodes d’extorsion initiales et secondaires. La meilleure défense contre le pig butchering est de connaître l’existence de telles campagnes d’escroquerie. Nous encourageons les utilisateurs qui ont des soupçons ou qui pensent avoir été victimes d’une escroquerie à nous contacter, » ajoute Sean Gallagher.

Pour en savoir davantage sur les tactiques les plus récentes utilisées par les escrocs de type CryptoRom, consultez l’article intitulé « Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users »  sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.