Après deux ans d’enquête, l’équipe SophosX-Ops a découvert une technique d’escroquerie extrêmement sophistiquée conçue pour amener les victimes à effectuer des investissements frauduleux.

PARIS,FR — février 12, 2024 —

Sophos, un leader mondial de la cybersécurité innovante « as-a-Service », révèle comment les escrocs qui utilisent la méthode de fraude ShaZhuPan pour commettre des fraudes à la cryptoromance s’appuient sur un modèle similaire à «“cybercrime as-a-service" pour vendre des kits ShaZhuPan sur le dark web dans le but d’étendre leurs méfaits à de nouveaux marchés à travers le monde. Sophos présente ces opérations avancées de type ShaZhuPan(杀猪盘 ou «pig butchering» en anglais) dans l’article «Cryptocurrency Scams Metastasize into New Forms»). Créés par des gangs du crime organisé implantés en Chine, ces nouveaux kits contiennent les composants techniques nécessaires pour élaborer un schéma de «pig butchering» particulier, baptisé «épargne décentralisée» (Decentralised Finance savings).

Les cybercriminels présentent les escroqueries à l’épargne décentralisée comme des opportunités d’investissement passif similaires aux comptes du marché monétaire. Il suffit en effet aux victimes de connecter leur portefeuille de cryptomonnaies à un « compte de courtage » pour que l’investissement leur rapporte des intérêts élevés. Dans la réalité, les victimes ajoutent leur crypto portefeuille à un pool d’échange de cryptomonnaies que les fraudeurs pourront ensuite vider tranquillement.

« Lorsqu’elles ont fait leur apparition pendant la pandémie de COVID, les escroqueries de type «pigbutchering» étaient encore techniquement peu évoluées et nécessitaient une bonne dose d’efforts et d’accompagnement pour tromper les proies. Aujourd’hui, alors que les méthodes employées sont de plus en plus performantes et que les fraudeurs ont peaufiné leurs techniques, nous assistons à une évolution similaire à celle qui a précédemment touché lesransomwares et d’autres types de cybercriminalité avec la création d’un modèle «as-a-service». Les groupes de pig butchering créent des kits d’applications décentralisées prêts à l’emploi que d’autres cybercriminels peuvent acquérir sur le dark web. Résultat: de nouveaux réseaux indépendants de groupes criminels chinois voient le jour dans des régions telles que la Thaïlande ou l’Afrique de l’Ouest, jusqu’aux États-Unis. », explique Sean Gallagher, responsable de recherches spécialisé dans les menaces chez Sophos.

«À l’image d’autres types de cybercriminalité commerciale, ces kits permettent aux cybercriminels séduits par le pig butchering d’accéder plus facilement aux outils dont ils ont besoin, augmentant sensiblement le nombre de victimes. L’année dernière, ce phénomène atteignait déjà plusieurs milliards de dollars, et cela risque malheureusement de s’aggraver de façon exponentielle cette année. »

L’équipe SophosX-Ops suit l’évolution des systèmes du pig butchering depuis deux ans. Qualifiées par Sophos d’arnaques «CryptoRom», les premières itérations consistaient à entrer en contact avec des victimes potentielles sur des sites de rencontre afin de les amener à télécharger des applications frauduleuses de trading de cryptomonnaies à partir de sources tierces. Pour les utilisateurs d’iOS, ces arnaques exigeaient des victimes qu’elles téléchargent une solution sophistiquée conçue pour permettre aux escrocs de contourner les fonctions de protection des appareils avant d’accéder au crypto portefeuille de leurs victimes.

En 2022, les escrocs ont continué à affiner leurs techniques, cette fois en trouvant des moyens de contourner le processus d’évaluation de la sécurité des boutiques d’applications pour introduire leurs applis frauduleuses dans les plateformes officielles que sont l’AppStore d’Apple et le Play Store de Google. La même année, un nouveau mécanisme d’escroquerie est apparu sous la forme de faux pools d’échange de cryptomonnaies (minage de liquidités)

En 2023, SophosX-Ops a découvert deux vastes réseaux de pig butchering, l’un basé à Hong Kong, l’autre au Cambodge. Tous deux s’appuyaient sur des applications de trading de cryptomonnaies tout à fait légitimes et créaient de fausses identités sophistiquées pour tromper les victimes et leur voler des millions. Une enquête plus approfondie a révélé que les adeptes du pig butchering commençaient à ajouter l’IA à leur arsenal.

À la fin de l’année dernière, SophosX-Ops a mis au jour une vaste opération de minage de liquidités impliquant trois réseaux criminels organisés chinois ayant ciblé une centaine de victimes. Au cours de son enquête, l’équipe SophosX-Ops a pour la première fois remarqué l’existence de kits d’escroquerie au pig butchering.

Dans le cadre des dernières opérations sur lesquelles SophosX-Ops a enquêté, les escrocs ont éliminé la totalité des obstacles technologiques existants et sensiblement minimisé les efforts d’ingénierie sociale nécessaires pour piller le portefeuille de leurs cibles. S’agissant des systèmes d’épargne DeFi, les victimes effectuent à présent des opérations frauduleuses de trading de cryptomonnaies en utilisant des applications légitimes et renommées, ce qui permet aux escrocs d’accéder directement (et bien sûr à leur insu) à leur crypto portefeuille. Qui plus est, les escrocs peuvent dissimuler le réseau de portefeuilles utilisé pour blanchir les cryptomonnaies volées, rendant les escroqueries encore plus difficiles à détecter pour les cyber gendarmes.

« Les escroqueries à l’épargne décentralisée (DeFi) sont l’aboutissement de deux années de perfectionnement des opérations de pig butchering. L’époque est bel et bien révolue où les escrocs devaient convaincre leurs victimes de télécharger une application exotique ou de transférer eux-mêmes leurs cryptomonnaies vers un portefeuille numérique qui serait rapidement vidé.

En outre, les fraudeurs ont appris à mieux «commercialiser» leurs méthodes. Ils profitent de la façon dont fonctionnent les pools de minage de liquidités pour subtiliser des fonds en affirmant aux victimes qu’il s’agit d’un compte d’investissement ordinaire. Cette solution est souvent plus facile à vendre, dans la mesure où la plupart des particuliers ignorent tout du trading de cryptomonnaies et où toutes les opérations ont lieu sous le couvert de marques de confiance.

En d’autres termes, il n’a jamais été aussi facile d’être victime d’une arnaque au pig butchering; de même, il n’a jamais été aussi important de savoir que ces escroqueries existent et à quoi s’attendre », a ajouté Sean Gallagher.

Quelques conseils pour éviter d’être victime d’une escroquerie au pigbutchering

Pour éviter de succomber à une arnaque au pigbutchering, Sophos recommande ce qui suit:

  • Se méfier des inconnus qui prennent contact par l’intermédiaire des réseaux sociaux comme Facebook ou par SMS, surtout s’ils souhaitent passer rapidement à des messages privés, par exemple sur WhatsApp.
    • Ce conseil s’applique également aux nouveaux contacts établis sur les applications de rencontre, notamment lorsque l’interlocuteur commence à parler de cryptomonnaies.
  • Attention aux messages qui promettent un enrichissement rapide ou des opportunités d’investissement dans les cryptomonnaies garantissant un rendement aussi rapide qu’élevé.
  • Se tenir au fait des pièges et tactiques utilisés par les escrocs aux rencontres et aux investissements. Des organisations sans but lucratif telles que le Cybercrime Support Network disposent de ressources qui peuvent être utiles.
  • Toute personne soupçonnant d’avoir été victime d’une arnaque au pig butchering doit immédiatement retirer les fonds du portefeuille concerné et contacter les forces de l’ordre.

 

Chronologie de deux années d’enquête

2021

2022

  • SophosX-Ops découvre d’autres applications frauduleuses provenant d’escroqueries CryptoRom, ainsi qu’une nouvelle solution de contournement utilisée pour inciter les victimes à les télécharger sur leurs appareils iOS.
  • Apparition d’un nouveau type d’escroquerie au pig butchering, leminage de liquidités.

2023

  • SophosX-Ops découvre dans l’App Store d’Apple lespremières applications frauduleuses destinées aux arnaques CryptoRom; parallèlement, les cybercriminels imaginent de nouvelles techniques pour contourner le processus d’évaluation de la sécurité de l’App Store.
  • L’équipe SophosX-Ops identifie deux vastes réseaux de pig butchering basés àHong Kong et au Cambodge. Au lieu d’utiliser des applications frauduleuses, ces criminels emploient des applications de trading de cryptomonnaies tout à fait légitimes et créent des comptes (personas) élaborés pour ferrer leurs victimes.
  • SophosX-Ops identifie de nouvelles applications frauduleuses et comprend que les escrocs au pig butchering ont ajouté l’IA générative à leur arsenal.
  • Les mésaventures d’un homme qui a perdu 22000 dollars en une semaine à la suite d’une attaque par pig butchering conduit l’équipe SophosX-Ops à révéler une vaste opération d’escroquerie au minage de liquidités gérée par trois réseaux criminels chinois différents.

2024

  • SophosX-Ops dévoile le système de pig butchering le plus sophistiqué à ce jour, à savoir l’arnaque à l’épargne décentralisée (DeFi savings). Ces systèmes, ainsi que d’autres modes d’escroquerie centrés sur les cryptomonnaies, sont vendus sous forme de kits, avec pour conséquence l’apparition de réseaux de pig butchering dans de nouvelles régions du monde.

Pour en savoir plus sur les systèmes d’épargne décentralisée actuels et l’évolution du pig butchering, visitez le site http://www.sophos.com/.

 

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.