Menaces cyber : qu’est-ce qu’un drainer ?

En cybercriminalité, un draineur – ou « drainer », en anglais – est un type de logiciel malveillant spécialement conçu pour cibler et voler des données liées aux cryptomonnaies, telles que les identifiants de portefeuilles, les comptes d’échange et les extensions de navigateur. 

Les drainers sont souvent proposés sous forme de script pour que l’acheteur puisse les utiliser à sa guise ou déjà intégrés dans une plateforme. Les drainers nécessitent généralement que la victime se connecte volontairement à son portefeuille de cryptomonnaies ou à son compte de trading, souvent obtenu par ingénierie sociale, et ne sont pas capables de récupérer tous les types de données d’identification comme les infostealers génériques.

Les drainers sont spécifiquement conçus pour cibler les services liés aux cryptomonnaies, tandis que les infostealers ont un champ d’action plus large.

Inferno Drainer, par exemple, était très actif entre novembre 2022 et novembre 2023. Group-IB explique que les victimes étaient leurrées par des sites de phishing très élaborés, qui les incitaient à connecter leurs portefeuilles de cryptomonnaies à l’infrastructure des attaquants.

Group-IB a identifié plus de 16 000 domaines uniques utilisés par Inferno Drainer pour ses opérations de phishing, imitant frauduleusement au moins 100 marques de cryptomonnaies différentes. Inferno Drainer intégrait des scripts malveillants qui imitaient les protocoles Web3 populaires, dans le but de connecter les portefeuilles de cryptomonnaies et d’obtenir le consentement des utilisateurs pour autoriser une transaction.

Lorsque la victime connectait son portefeuille de cryptomonnaies et autorisait une transaction, pensant recevoir un « airdrop » (distribution gratuite de tokens), les actifs volés étaient ensuite partagés selon le modèle de fraude en tant que service : 20 % étaient reversés aux organisateurs d’Inferno Drainer, tandis que le cybercriminel conservait les 80 % restants.

En novembre 2023, les développeurs d’Inferno Drainer ont annoncé la fin de leurs opérations. Cependant, Group-IB a découvert que le panneau de contrôle utilisé par les cybercriminels était toujours actif à la mi-janvier 2024.

À l’automne dernier, SlowMist, spécialiste de la sécurité des chaînes de blocs, s’est penché sur les pratiques du gang baptisé Angel Drainer. Ce dernier opère selon un modèle de maliciel en mode service et demande 40 000 $ de dépôt de garantie et 20 % de commission. En décembre dernier, il aurait déjà amassé au moins 2 millions de dollars de telles commissions.

C’est à cette période-là que Check Point a publié un rapport sur la menace croissante du hameçonnage lié aux attaques de crypto-drainers : « ces menaces sont uniques dans leur approche, ciblant une large gamme de réseaux de blockchain, allant d’Ethereum et Binance Smart Chain à Polygon, Avalanche, et près de 20 autres réseaux, en utilisant une technique de vidage de portefeuilles de cryptomonnaies ».

De son côté, SentinelOne rappelle que cette menace n’est pas totalement nouvelle. Mais elle a évolué et s’est significativement développée au cours des deux dernières années. « Les drainers et les attaques de type drainer peuvent exister sous plusieurs formes », souligne l’éditeur, citant par exemple des « des contrats intelligents malveillants » pouvant « contenir des fonctionnalités cachées permettant de déclencher des transferts non autorisés ». 

Surtout, « les drainers de cryptomonnaies sont souvent fournis à travers un modèle de Drainer-as-a-Service (DaaS), avec des vendeurs de DaaS offrant des logiciels et un support aux cybercriminels contre un pourcentage des fonds volés ».

Au programme, pour le volet services : « des scripts de drainage de cryptomonnaies clés en main ; des contrats intelligents personnalisables ; des kits de phishing et des services d’ingénierie sociale ; des services de sécurité opérationnelle (OPSEC) premium ; assistance à l’intégration et services de blanchiment », etc.

Pour un chef d’entreprise, il est important de comprendre que ces maliciels constituent une menace sérieuse, dès lors que l’entreprise détient des actifs en cryptomonnaies ou si elle accepte des paiements en cryptomonnaies.