Une cyberopération internationale gèle 41 millions d’euros de cryptomonnaies volées

Une vaste opération policière internationale a porté un coup important aux cybercriminels qui dérobent des cryptomonnaies à travers le monde. Lors de la dernière phase de l’opération Endgame, plus de 41 millions d’euros d’avoirs numériques volés ont été repérés et gelés. L’infrastructure numérique liée à trois familles de logiciels malveillants largement utilisées a également été démantelée.

L’opération a duré deux semaines et a été menée par des services d’enquête de plusieurs pays, en coopération notamment avec Europol et Microsoft. Elle visait les familles de logiciels malveillants SocGholish, Amadey et StealC, utilisées par des cybercriminels pour infecter des ordinateurs et dérober des données sensibles.

Les logiciels malveillants ciblent les utilisateurs de portefeuilles crypto

Un logiciel malveillant est un programme nuisible qui s’installe à l’insu de l’utilisateur sur un ordinateur. Dans ce cas précis, l’objectif principal était de voler des données permettant aux cybercriminels d’accéder à des portefeuilles crypto, ces portefeuilles numériques dans lesquels sont conservées les cryptomonnaies.

StealC est ce que l’on appelle un infostealer, un logiciel malveillant conçu pour collecter des informations sensibles. Il vole notamment des mots de passe, des cookies de navigateur et des données liées aux portefeuilles crypto. Des chercheurs de la société de cybersécurité Proofpoint ont également découvert que StealC tentait de récupérer la phrase de récupération des utilisateurs de MetaMask. Cette suite de mots permet de restaurer entièrement un portefeuille crypto, donnant ainsi aux criminels la possibilité d’en prendre le contrôle et d’en détourner tout le contenu.

Amadey sert à infecter une première fois les ordinateurs, avant d’y installer d’autres logiciels malveillants. SocGholish se propage via des sites piratés sur lesquels les visiteurs voient s’afficher un faux message les invitant à mettre à jour leur navigateur. En cliquant, ils installent le logiciel malveillant sans s’en rendre compte.

Des centaines de serveurs et des milliers de sites mis hors ligne

Selon Europol, l’opération internationale a débouché sur de nombreux résultats. Au cours de l’intervention, les autorités ont :

• désactivé 326 serveurs ;
• mis hors ligne 142 noms de domaine ;
• retrouvé près de 27 millions d’identifiants volés ;
• identifié plus de 385 000 ordinateurs infectés ;
• nettoyé près de 15 000 sites web compromis.

Parmi les sites touchés figuraient de nombreux sites de petites entreprises, souvent sans savoir qu’ils étaient utilisés pour diffuser des logiciels malveillants.

Microsoft a également indiqué qu’Amadey et StealC avaient, à eux seuls, infecté plus de 140 000 ordinateurs dans le monde durant la première quinzaine de mai.

Les infostealers, une menace croissante pour les cryptomonnaies

Selon les experts en cybersécurité, les infostealers figurent désormais parmi les principaux risques pour les détenteurs de cryptomonnaies. Ces logiciels recherchent activement des mots de passe, des clés privées et des codes de récupération permettant de voler des avoirs numériques.

Les cybercriminels diffusent ce type de logiciel par des méthodes variées, notamment de faux programmes d’intelligence artificielle, des fonds d’écran Steam modifiés et des modifications illégales pour jeux vidéo.

L’ampleur du problème était déjà apparue lors d’une phase précédente de l’opération Endgame. Les enquêteurs avaient alors découvert les données de plus de 100 000 portefeuilles crypto dont les identifiants avaient déjà été volés, alors même que ces portefeuilles n’avaient pas encore été vidés.

Microsoft engage également des poursuites judiciaires

En parallèle de l’opération policière internationale, Microsoft a déposé aux États-Unis une plainte civile contre les groupes à l’origine d’Amadey et de StealC.

À l’aide de l’intelligence artificielle, notamment Microsoft Copilot, les chercheurs ont établi que les deux familles de logiciels malveillants utilisaient la même infrastructure numérique, bien qu’elles aient été développées par des cybercriminels différents. Microsoft a ainsi pu cibler les deux réseaux conjointement sur le fondement de la loi américaine RICO, destinée à lutter contre la criminalité organisée.

Selon Microsoft, plus de 200 serveurs de commande et contrôle ont déjà été désactivés. Ces serveurs permettent aux cybercriminels de piloter à distance les ordinateurs infectés. L’entreprise a aussi identifié plus de 18 000 ordinateurs appartenant à des victimes et pris des mesures pour couper le contrôle exercé par les attaquants.

Europol prévient que la menace cyber demeure

Si l’opération représente une victoire importante pour les services d’enquête internationaux, les experts rappellent que les cybercriminels s’adaptent rapidement. De nouvelles versions de logiciels malveillants apparaissent régulièrement et les criminels reconstruisent souvent leur infrastructure. Une nouvelle version de StealC a d’ailleurs déjà été repérée ce mois-ci.

Europol recommande donc aux utilisateurs de rester vigilants et de vérifier régulièrement si leurs données ont été compromises. Cette vérification peut notamment être effectuée via le site Have I Been Pwned. En cas de fuite de données personnelles, il est conseillé de modifier immédiatement ses mots de passe et, lorsque c’est possible, d’activer l’authentification à deux facteurs afin de mieux protéger ses comptes et ses portefeuilles crypto.