Depuis le mois de mai, Sophos X-Ops a observé le perfectionnement des techniques des escrocs CryptoRom, comme notamment l’ajout à leur arsenal d’un outil de discussion via une IA semblable à ChatGPT. Ces escrocs ont également développé leurs tactiques de coercition en prétendant que les comptes crypto de leurs victimes ont été piratés et qu’il leur faut avancer des fonds supplémentaires.
Sophos X-Ops a également découvert que les escrocs ont été en mesure d’introduire discrètement sept nouvelles applications frauduleuses d’investissement en cryptomonnaie dans les boutiques en ligne d’Apple et Google Play, élargissant ainsi le nombre de victimes potentielles.
En 2022, aux États-Unis, les fraudes à l’investissement ont été à l’origine de plus de pertes financières que toutes les autres escroqueries rapportées par le grand public au Centre de plaintes concernant les infractions sur Internet du FBI (IC3) et ont représenté un total de 3,31 milliards de dollars. Les fraudes impliquant les cryptomonnaies, y compris le pig butchering, représentent la majeure partie de ces escroqueries, enregistrant une hausse de 183 % depuis 2021 pour atteindre 2,57 milliards de dollars de pertes déclarées l’an passé.
Sophos X-Ops a découvert que les attaquants utilisaient un outil de discussion d’IA – probablement ChatGPT – lorsqu’une victime a contacté l’équipe. Après avoir initié un contact avec la victime sur Tandem, une application d’échange linguistique également utilisée comme appli de rencontre, l’escroc a persuadé la victime de poursuivre leur conversation sur WhatsApp. La victime a commencé à avoir des soupçons après avoir reçu un long message dont certaines parties avaient clairement été écrites par une IA qui s’appuie sur un grand modèle de langage ou Large Language Model (LLM).

« Depuis qu’OpenAI a annoncé la mise en ligne de ChatGPT, des spéculations ont vu le jour concernant l’utilisation du programme par les cybercriminels pour leurs activités malveillantes. Nous sommes désormais en mesure d’affirmer que c’est bien le cas, du moins concernant les arnaques de pig butchering. L’un des principaux défis que rencontrent les attaquants avec les escroqueries de type CryptoRom qui consiste à entretenir des conversations de nature romantique avec leurs cibles qui soient à la fois durables et convaincantes. Ces discussions sont rédigées la plupart du temps par des ‘dactylos’, principalement basés en Asie et qui sont donc confrontés à la barrière de la langue. À l’aide d’un outil comme ChatGPT, il devient beaucoup plus facile d’entretenir ces conversations, car cela permet de minimiser le travail des escrocs tout en les rendant plus authentiques. Cela donne également à ces ‘dactylos’ la possibilité de discuter simultanément avec de multiples victimes, » déclare Sean Gallagher, principal threat researcher chez Sophos.
Sophos X-Ops a également découvert une nouvelle tactique utilisée par les escrocs pour extorquer des sommes d’argent supplémentaires. Habituellement, lorsque les victimes d’escroqueries de type CryptoRom tentent de convertir leurs « bénéfices » en argent utilisable, les escrocs leur demandent de payer une taxe correspondant à 20 % des fonds avant tout retrait. Toutefois, une victime récente a révélé qu’après avoir payé la « taxe » de retrait, l’escroc lui avait affirmé que les fonds avaient été « piratés » et qu’il lui faudrait verser de nouveau 20 % de la somme afin de recevoir son argent.
La suite de l’enquête menée par Sophos X-Ops a révélé l’existence de sept applications frauduleuses d’investissement dans les cryptomonnaies au sein du Google Play Store et de l’Apple Store. Ces applications arborent des descriptions inoffensives sur les boutiques en ligne (BerryX, par exemple, se présente comme une application de lecture). Toutefois, dès qu’un utilisateur ouvre l’application, il entre sur une interface frauduleuse d’échange de cryptomonnaie.
Afin de contourner les contrôles de l’ App Store d’Apple, les développeurs utilisent les mêmes techniques que celles déjà mentionnées par Sophos dans son rapport datant de février 2023. Ils soumettent l’application en utilisant du contenu légitime habituel. Puis, une fois l’application approuvée et publiée, ils modifient le serveur hébergeur en intégrant du code afin d’afficher l’interface frauduleuse.
Une grande partie de ces sept nouvelles applications ont recyclé les mêmes templates et descriptions, ce qui laisse penser que seules une ou deux organisations de pig butchering sont à l’origine de ce stratagème.

« Avant de pouvoir intégrer leurs applications à l’Apple Store, les fraudeurs de type CryptoRom devaient auparavant trouver un moyen technique pour contourner les contrôles et cibler les utilisateurs d’iOS qui pouvait alerter les victimes en cas d’incident. Désormais, il leur est beaucoup plus facile de cibler les utilisateurs d’iPhones, ce qui leur permet d’étendre leur réservoir de victimes potentielles. Ces applications sont faciles à recycler et à réutiliser. En effet, BerryX semble faire partie des applications frauduleuses que nous avons découvertes et bloquées cette année. Même si nous avons alerté Google et Apple de la présence de ces nouvelles applications, il est probable que d’autres verront le jour. Ces fraudeurs n’ont pas d’états d’âme. Désormais, ils vont jusqu’à prétendre que les comptes de leurs victimes ont été piratés pour leur extorquer davantage d’argent. À l’avenir, ils vont probablement mettre au point de nouvelles méthodes d’extorsion initiales et secondaires. La meilleure défense contre le pig butchering est de connaître l’existence de telles campagnes d’escroquerie. Nous encourageons les utilisateurs qui ont des soupçons ou qui pensent avoir été victimes d’une escroquerie à nous contacter, » ajoute Sean Gallagher.