Le responsable de la sécurité des informations de SlowMist, 23pds, rapporte que la variante du cheval de Troie AMOS, « Odyssey », dérobe les informations des portefeuilles de cryptomonnaies via de fausses publicités d'outils d'IA, soulignant des risques de sécurité importants.

Résumé Exécutif

Le 18 septembre, le Chef de la Sécurité de l'Information de SlowMist, 23pds, a révélé qu'Odyssey, une variante du cheval de Troie voleur d'informations AMOS, cible activement les utilisateurs de cryptomonnaies. Ce logiciel malveillant se propage via de fausses publicités d'outils d'intelligence artificielle (IA) sur des plateformes telles que Twitter, incitant les individus à télécharger des logiciels malveillants déguisés en applications clientes d'IA légitimes. Une fois installé, Odyssey est conçu pour exfiltrer des données sensibles, y compris les informations de portefeuille de cryptomonnaies, les détails du système et les données de navigateur.

Détail de l'événement

Odyssey est un logiciel malveillant sophistiqué utilisant AppleScript comme charge utile principale pour exécuter le vol de données. Le vecteur d'attaque repose sur l'ingénierie sociale, tirant parti de la popularité des outils d'IA pour distribuer le logiciel malveillant. Les utilisateurs rencontrant ces publicités frauduleuses sont invités à télécharger ce qui semble être un logiciel client d'IA légitime. Cependant, l'application téléchargée est malveillante, conçue spécifiquement pour voler des informations sensibles. Cela inclut les clés privées et les phrases de récupération des portefeuilles de cryptomonnaies basés sur le navigateur comme MetaMask, Trust Wallet, Phantom, Exodus, Coinbase Wallet et Ledger Live, ainsi que les données générales du système et du navigateur. Les itérations précédentes du logiciel malveillant AMOS, y compris celles usurpant l'identité des applications Ledger, ont démontré la capacité à contourner les mesures de sécurité telles que Gatekeeper d'Apple en utilisant des fichiers trompeurs et des interfaces de phishing pour voler des phrases de récupération de 24 mots.

Implications sur le marché

L'émergence de la variante Odyssey souligne un paysage de menaces critique et en évolution au sein du secteur des cryptomonnaies. Ce type de compromission directe de portefeuille contribue de manière significative à l'escalade des pertes financières signalées dans l'ensemble de l'écosystème des actifs numériques. Les données de CertiK indiquent qu'environ 2,47 milliards de dollars en cryptomonnaies ont été volés au premier semestre 2025, dépassant les pertes totales pour toute l'année 2024. La compromission de portefeuille a été identifiée comme le vecteur d'attaque le plus coûteux, représentant 1,7 milliard de dollars sur 34 incidents au S1 2025, largement motivée par quelques événements à fort impact. La prolifération continue de chevaux de Troie sophistiqués comme Odyssey, qui ciblent spécifiquement les identifiants de portefeuille, exacerbe directement cette tendance, érodant la confiance des utilisateurs et posant des risques systémiques pour la sécurité des actifs individuels.

Commentaire d'expert

Le CISO de SlowMist, 23pds, a explicitement averti les utilisateurs de rester vigilants face à ces menaces. Les spécialistes de la sécurité conseillent une extrême prudence, exhortant les individus à éviter de télécharger des outils d'IA ou des logiciels liés aux cryptomonnaies depuis des canaux non officiels. Des vérifications de sécurité régulières sur les appareils sont recommandées. Le consensus plus large des experts, comme souligné par le CISO de SlowMist, Shan Zhang, concernant d'autres logiciels malveillants comme ModStealer, met en évidence la grave menace posée par les voleurs de données multiplateformes et furtifs à l'écosystème des actifs numériques. Les recommandations générales en matière de sécurité incluent le téléchargement d'extensions de portefeuille exclusivement depuis les magasins officiels, la vérification des éditeurs de logiciels avant l'installation et l'activation de l'authentification multifacteur (MFA) chaque fois que possible.

Contexte plus large et stratégie commerciale

La méthodologie d'attaque employée par la variante Odyssey reflète une stratégie d'attaquant qui capitalise sur les tendances technologiques populaires, telles que l'IA, pour créer des leurres crédibles. Cette approche reflète d'autres tactiques de cybercriminalité en évolution, y compris celles utilisées par des groupes comme GreedyBear, qui exploitent le code généré par l'IA et les techniques de « hollowing d'extension » – où des extensions légitimes sont ensuite mises à jour avec du code malveillant – pour cibler les portefeuilles à fort trafic. Les mécanismes financiers de ces attaques impliquent l'exfiltration directe de données de portefeuille sensibles, telles que les phrases de récupération et les clés privées, ce qui permet directement aux attaquants de vider les avoirs en cryptomonnaies compromis. Cette menace continue souligne le besoin critique de pratiques de sécurité robustes et multicouches à travers l'écosystème Web3, englobant non seulement la vigilance de l'utilisateur individuel, mais aussi des audits de code continus, une surveillance en temps réel et une réponse proactive aux incidents par les plateformes et les développeurs. Les chiffres élevés d'actifs volés en raison de compromissions de portefeuilles démontrent que les attaquants se concentrent de plus en plus sur le maillon le plus faible : le point d'extrémité de l'utilisateur et sa gestion des identifiants sensibles.