De nouvelles découvertes mises au jour par Infoblox montrent que plus de 236 000 sites web utilisent des modèles d’escroquerie à l’investissement construits à l’aide d’un framework de développement d’applications multiplateformes open source chinois légitime appelé DCloud Uni-App .

Ces modèles alimentent des plateformes d’échange de cryptomonnaies frauduleuses, des opérations d’escroquerie multilingues, des réseaux de phishing sur WhatsApp, de faux sites de jeux d’argent, des sites usurpant l’identité de marques et des programmes de vidage de portefeuilles de cryptomonnaies. L’entreprise spécialisée dans le renseignement sur les menaces DNS a identifié un total de 236 493 domaines de second niveau distincts.

« Ces deux dernières années, on a constaté une augmentation spectaculaire du nombre de sites web frauduleux utilisant la plateforme DCloud, et les opérateurs de ces sites continuent de mettre en place des stratagèmes complexes dans le monde réel pour tromper leurs victimes », a déclaré Infoblox dans un rapport exhaustif publié la semaine dernière.

Il semblerait que des acteurs malveillants inconnus vendent des modèles d’escroqueries à l’investissement DCloud, bien qu’il existe des indices d’une propriété centralisée pour une part importante des sites web d’escroqueries à l’investissement construits avec DCloud.

Cette hypothèse repose sur la baisse des enregistrements de nouveaux noms de domaine observée sur des sites web frauduleux hébergés par différents fournisseurs, ce qui laisse supposer qu’une entité centrale rencontre des difficultés ou procède à des modifications coordonnées de ses sites d’escroquerie liés aux investissements DCloud. Parmi les autres indices, on note des signatures techniques spécifiques, des méthodes de communication avec les victimes et des choix d’hébergement.

Parmi les domaines identifiés figure la tristement célèbre plateforme RainbowEx , une fausse plateforme d’échange de cryptomonnaies qui a fait la une des journaux fin 2024 pour avoir mis en place un système de Ponzi ayant touché des dizaines de milliers de personnes à San Pedro, en Argentine. Plus tard dans l’année, sept personnes liées à cette opération ont été arrêtées par les forces de l’ordre.

Bien que l’utilisation de DCloud ne soit pas en soi un indicateur d’intention malveillante, Infoblox a déclaré qu’elle présente certaines caractéristiques communes : de fausses interfaces de courtage, des invites de vidage de portefeuille de cryptomonnaie, des interfaces de jeu avec des résultats truqués, des vitrines d’usurpation de marque et un hébergement à l’épreuve des balles (BPH).

Les domaines frauduleux sont présents sur tous les continents, ciblent des locuteurs d’au moins huit langues et usurpent l’identité de marques allant des grandes bourses aux géants de la distribution en passant par les plateformes de messagerie, a indiqué l’entreprise. Ces opérations frauduleuses sont en cours depuis mi-2022. À partir des sites identifiés par DCloud, deux populations apparentées mais distinctes ont émergé :

• Les sites portant les signatures de base du framework DCloud Uni-App, qui remontent à 2021, incluent à la fois des entreprises chinoises légitimes et des opérations malveillantes.
• Un sous-ensemble spécifique d’escroqueries à l’investissement qui est actif depuis mi-2022

« Paradoxalement, le nombre d’escrocs à l’investissement est plus important que ce que révèle à lui seul l’empreinte digitale du framework DCloud, car des opérateurs plus sophistiqués ont dépouillé la structure par défaut de DCloud pour échapper à l’identification par empreinte digitale », a noté Infoblox.

Le deuxième ensemble de sites web frauduleux DCloud est géré par plusieurs opérateurs indépendants et comprend une grande variété d’escroqueries.

• Des plateformes d’échange de cryptomonnaies et de dépôt-échange fictives imitent des plateformes d’échange réputées et incitent les utilisateurs à investir, en affichant une activité de trading fictive jusqu’à ce que les victimes tentent de retirer leurs fonds.
• Des arnaques aux portefeuilles de cryptomonnaies incitent les utilisateurs à connecter leurs portefeuilles en se faisant passer pour des flux de vérification BNB Chain ou Tether.
• Des plateformes de prédiction et de jeux d’argent imitant les marchés de prédiction de type Polymarket, ou de faux casinos et plateformes de loterie.
• Les attaques de phishing ciblant WhatsApp et les plateformes de messagerie visent à extraire des identifiants en usurpant l’identité du Centre d’aide à la sécurité de WhatsApp à l’aide de domaines similaires (par exemple, « whats-zwp[.]vip » ou « faq-whatsapp-center[.]com »).
• Modèle générique de phishing et de collecte d’identifiants comprenant des pages de connexion et d’inscription simples

« Aux États-Unis, le même scénario s’est maintenant manifesté à deux reprises dans des opérations connues du public : d’abord dans l’ escroquerie à l’investissement dans le partage de scooters LSSC qui a pris une ampleur considérable et a fait l’objet d’une enquête pour fraude aux niveaux fédéral et étatique l’année dernière, et ensuite dans une escroquerie sur le thème de l’investissement dans le partage de vélos qui recrute activement des victimes en ce moment même sous une société écran enregistrée au Royaume-Uni et disposant d’une véritable licence fédérale américaine de services monétaires », a déclaré la société.

Cette arnaque à l’investissement en scooters, construite à l’aide du framework Uni-App, est exploitée sous la marque Yuechi Sharing Technology Ltd. et cible principalement l’Australie, la Nouvelle-Zélande et les États-Unis. L’interface de Yuechi comporte un formulaire de connexion ou d’inscription, ce dernier invitant les utilisateurs à saisir leur numéro de téléphone, un code de vérification par SMS et un code d’invitation partagé par un affilié existant du système pyramidal.

« Le système de code d’invitation est courant sur les sites d’escroquerie financière : une victime potentielle ne peut ni créer de compte ni accéder à la page de dépôt sans avoir été préalablement recrutée par un affilié », explique Infoblox. « Cette exigence s’explique par le fait que la plupart des opérateurs cherchent à transformer chaque victime en recruteur, qui tentera ensuite de recruter ses amis, sa famille et ses collègues pour générer davantage d’investissements et étendre le système pyramidal. »

Le site intègre également un module de service client qui redirige les victimes vers une messagerie de marque externe pour traiter les problèmes tels que les erreurs d’inscription, les blocages de retrait et les blocages de dépôt.

De plus, l’analyse par Infoblox de l’infrastructure frauduleuse à l’investissement construite sur DCloud a révélé que la majorité des domaines sont hébergés chez des fournisseurs légitimes tels que Cloudflare, Alibaba Cloud, Tencent Cloud et Amazon Web Services. Environ 6 % des domaines frauduleux à l’investissement construits sur DCloud et visibles utilisent des fournisseurs BPH comme CTG Server Limited (AS152194), déjà signalé pour activités cybercriminelles.

« Les sites du niveau évasif, où les opérateurs ont pris la peine de masquer la signature du framework, fonctionnent sur un hébergement à toute épreuve à un rythme environ deux fois supérieur à celui du niveau standard », a déclaré la société, le niveau standard désignant les sites frauduleux qui portent l’empreinte digitale par défaut du framework DCloud, tandis que le niveau évasif regroupe les sites qui ne portent pas cette empreinte.

L’interprétation est simple : les opérateurs suffisamment compétents pour reconnaître et supprimer les traces des frameworks sont également suffisamment compétents pour rechercher des fournisseurs d’infrastructure qui résistent aux demandes de retrait. Ces deux comportements sont généralement liés. À l’inverse, les opérateurs les moins coûteux et les moins sophistiqués, ceux qui téléchargent un modèle et le déploient tel quel, sont aussi les plus susceptibles d’utiliser des hébergements grand public, où ils sont à la fois plus faciles à identifier et plus faciles à supprimer.