Le module complémentaire de Firefox « Safepal Wallet » a volé des crypto-monnaies

Facebook
Twitter
WhatsApp
Telegram

Un module complémentaire Firefox malveillant nommé « Safepal Wallet » a escroqué les utilisateurs en vidant leurs portefeuilles.

Safepal est une application de portefeuille de crypto-monnaies capable de contenir en toute sécurité plus de 10 000 types d’actifs, dont le Bitcoin, l’Ethereum et le Litecoin.

Bien que l’extension de navigateur malveillante ait été retirée, BleepingComputer a constaté que le site de phishing mis en place par les acteurs de la menace est toujours en ligne.

4 000 $ perdus à cause de Safepal Wallet

« Aujourd’hui, j’ai parcouru la liste des modules complémentaires de Mozilla Firefox, je cherchais l’extension Safepal wallet pour utiliser mon portefeuille de crypto-monnaies également dans le navigateur Web », explique un utilisateur de modules complémentaires de Mozilla qui se fait appeler Cali.

Cali était loin de se douter de ce qui l’attendait. Quelques heures après avoir installé et s’être connecté au module complémentaire avec ses véritables informations d’identification Safepal, l’utilisateur a vu le solde de son portefeuille tomber à zéro.

« J’étais profondément sous le choc… J’ai vu mes dernières transactions et j’ai constaté que [4 000 $ de mes fonds] avaient été transférés vers un autre portefeuille. Je ne pouvais pas croire qu’il s’agissait d’un module complémentaire déployé dans la liste des modules complémentaires de Mozilla Firefox », poursuit l’utilisateur sur le forum d’assistance de Mozilla.

La page du module complémentaire « Safepal Wallet », vue par BleepingComputer, indique que le module complémentaire est en place depuis au moins le 16 février 2021.

Sur la même page, le module complémentaire de 235 Ko se présente comme une application Safepal qui permet de « sauvegarder localement et en toute sécurité la clé privée », avec des images de produits et des documents marketing convaincants.

Pour publier un module complémentaire sur le site Web de Mozilla, les développeurs sont tenus de suivre un processus de soumission  indiquant que les modules complémentaires soumis sont « sujets à révision par Mozilla à tout moment ». Mais, il n’est pas clair dans quelle mesure les soumissions sont examinées en ce qui concerne leur sécurité.

Cinq jours après le signalement public de l’incident par Cali ce mois-ci, un porte-parole de Mozilla a répondu qu’une enquête était en cours. La page a depuis été supprimée par Mozilla.

récupération des fonds volés

Bien que Safepal dispose d’applications officielles pour smartphones disponibles sur l’AppStore d’Apple et sur Google Play, nous n’avons pas connaissance de l’existence d’extensions de navigateur « Safepal » authentiques.

Heureusement, sur le site des modules complémentaires de Mozilla, certains utilisateurs ont publié des commentaires à une étoile pour avertir les autres de ne pas télécharger « Safepal Wallet » :

Mais, pour Cali, il semble qu’il soit un peu trop tard dans le jeu, et les chances de récupérer leurs fonds sont minces.

« J’ai déjà parlé avec la police, mais ils ne peuvent rien faire pour moi. Ils m’ont dit qu’il n’y avait aucun moyen de retrouver la trace du hacker. La seule solution qui me reste est peut-être que certains d’entre vous puissent m’aider en découvrant qui était le pirate et comment je peux récupérer mes fonds », déclare l’utilisateur.

Le domaine de phishing de Safepal

Le domaine de phishing « Safepal » est toujours actif et recueille des phrases de récupération

En enquêtant sur le module complémentaire malveillant de Firefox, BleepingComputer est tombé sur le domaine de phishing utilisé par le module complémentaire. Cette page Web, illustrée ci-dessous, était également répertoriée comme le lien « site d’assistance » sur la page d’accueil du faux module complémentaire :

https://safeuslife.com/tool/

Les enregistrements WHOIS indiquent que le site de phishing a été enregistré en janvier de cette année via Namecheap. Au moment de la rédaction de cet article, la page Web est toujours en ligne et demande à la victime d’entrer sa « phrase de sauvegarde de 12 mots dans l’ordre correct pour coupler votre porte-monnaie SafePal ».

Mais une fois que la phrase de récupération est entrée et que le formulaire est soumis, la page se rafraîchit simplement sans aucune réponse perceptible. La phrase de récupération est envoyée en silence à l’attaquant.

Les portefeuilles de crypto-monnaies

Les portefeuilles de crypto-monnaies, comme de nombreux services en ligne, utilisent une phrase de secours composée de douze mots générés de manière aléatoire qui peuvent être utilisés pour récupérer la clé privée et le portefeuille de l’utilisateur, s’il oublie son mot de passe. Mais la phrase de secours est un secret crucial qui doit être utilisé dans des circonstances exceptionnelles et uniquement sur l’application ou le site web de confiance du fournisseur de services.

Une phrase de récupération volée peut permettre aux attaquants de contrôler votre portefeuille et d’accéder à des fonds et de les transférer.

Les arnaques aux crypto-monnaies se multiplient

Ces derniers temps, les escroqueries liées aux crypto-monnaies se multiplient, les acteurs de la menace trouvant des moyens innovants et difficiles à détecter pour tromper les utilisateurs. La semaine dernière, une personne a piraté le site officiel Bitcoin.org et a réussi à escroquer 17 000 dollars aux visiteurs.

Lors d’attaques précédentes, des dépôts de logiciels libres, notamment npm, PyPI et GitHub, ont été utilisés pour diffuser des logiciels malveillants de vol de cryptomonnaie et de cryptomining.

Avec la présence croissante des acteurs de la menace sur les plateformes en ligne, les utilisateurs doivent être prudents lorsqu’ils fournissent leurs phrases de sécurité ou transfèrent des cryptomonnaies en ligne.

Facebook
Twitter
WhatsApp
Telegram