L’année 2018 avait été entamée par la correction d’une faille dans le wallet Electrum, et il semblerait que l’année se finisse elle aussi par l’exploitation d’une autre faille contre ce wallet Bitcoins (BTC). Des pirates auraient en effet réussi une attaque de phishing via des serveurs malveillants.
[coin-widget id=”bitcoin”]
Phishing vers des faux serveurs avec une version corrompue d’Electrum
Cette attaque d’hameçonnage aurait en commencé dès le 21 décembre 2018, et aurait permis aux hackers de dérober plus de 245 bitcoins pour l’instant. Cette estimation vient d’un post Reddit dévoilant l’adresse Bitcoin suspecté d’être utilisée pour faire transiter les fonds volés : 1MkM9Q6xo5AHZkLv2sTGLYb3zVreE6wBkj.
L’attaque vient du fait que le wallet Electrum est dit “léger” : il ne télécharge pas la totalité de la blockchain Bitcoin. Ainsi, ce sont des serveurs qui permettent à ses utilisateurs d’accéder indirectement à la blockchain, et c’est justement à partir de serveurs corrompus que les pirates vont commettre leur larcin.
Lorsqu’un utilisateur a le malheur de passer par un de ces serveurs malveillants lors d’une transaction dans l’application Electrum, un faux message d’erreur est affiché (voir ci-dessous), qui invite l’utilisateur à télécharger un client Electrum… corrompu.
Il est ensuite demandé aux utilisateurs d’entrer leurs codes d’authentification 2FA, les attaquants n’ont alors plus qu’à utiliser ces codes pour voler les bitcoins des victimes en les transférant sur leur propre adresse Bitcoin.
Réactions de l’équipe de développement d’Electrum
Le premier message que les développeurs du projet ont fait passer à la suite est de ne surtout pas télécharger Electrum ailleurs que sur le site electrum.org :
There is an ongoing phishing attack against Electrum users. Our official website is https://t.co/aHiZIZH54e Do not download Electrum from any other source. More on the attack here: https://t.co/x5mPVspKfO
— Electrum (@ElectrumWallet) December 27, 2018
Ils ont également analysé l’ampleur de l’attaque, et ont découvert que pour rendre l’attaque plus efficace, les attaquants ont créé de nombreux serveurs malveillants, augmentant ainsi les chances qu’un utilisateur se connecte à l’un d’entre eux.
Bien que l’équipe de développement ait sorti en urgence une version 3.3.2 pour empêcher l’apparition de ce message d’erreur, les attaquants se sont rapidement adaptés en réussissant à faire apparaître un nouveau message d’erreur :
Il n’y a pas encore officiellement eu de correctif pour empêcher ce second message, et même si le précédent correctif n’avait pas été annoncé dès sa mise en place (pour tenter de ne pas avertir les pirates), la plus grande prudence est de mise.
En attendant, ne téléchargez rien depuis un site issu du message d’erreur dans le logiciel Electrum.
