Cyberattaque contre Steakhouse Financial repoussée, les actifs des clients restent intacts
Dans le cadre d'un exploit d'ingénierie sociale effronté, des pirates ont temporairement détourné le site Web de Steakhouse Financial le 30 mars 2026, dirigeant les utilisateurs vers une page de phishing malveillante. En manipulant le personnel d'assistance d'OVHcloud, les attaquants ont réussi à contourner les mesures de sécurité critiques, en exploitant une vulnérabilité qui leur a permis de se faire passer pour le propriétaire du compte et de fournir de manière convaincante des informations personnelles pour passer le processus de vérification par téléphone. Cela a trompé un agent de support OVH en désactivant l'authentification matérielle à deux facteurs du compte, accordant ainsi aux attaquants un accès illimité.
Après avoir obtenu l'accès, les pirates ont rapidement déployé des scripts automatisés, supprimant tous les dispositifs d'authentification secondaires et activant les leurs en quelques secondes - une indication claire d'une opération soigneusement préméditée. Les attaquants ont ensuite astucieusement redirigé les serveurs de noms du domaine vers leurs propres serveurs et reconfiguré les enregistrements A du site pour pointer vers une version contrefaite du site Steakhouse, intelligemment hébergée sur Hostinger. Ce site cloné était équipé d'un malware drainant le portefeuille lié au célèbre Inferno Drainer, une société de drainage en tant que service.
Pour légitimer davantage le site de phishing, les attaquants ont rapidement acquis les certificats TLS Let's Encrypt, rendant le site pratiquement impossible à distinguer du site Web authentique de Steakhouse pour les navigateurs Web standards. Cependant, les extensions de portefeuille de Phantom, MetaMask et Rabby ont rapidement signalé le site comme malveillant, tirant la sonnette d'alarme de manière indépendante.
L'équipe de Steakhouse Financial est passée à l'action après avoir détecté une notification de changement d'e-mail non autorisée à 08h47 UTC, contactant rapidement OVH pour signaler l'incident. Le site de phishing a été mis en ligne peu de temps après, à 09h59 UTC, ce qui a incité l'équipe à émettre un avertissement public sur X avant 10h34 UTC. La Security Alliance (SEAL) a été rapidement mobilisée à 11h25 UTC, alors que l'attaque était toujours en cours.
Travaillant sans relâche sur plusieurs fronts, l'équipe s'est attaquée à la récupération de compte, à l'investigation DNS et à l'annulation des transferts. Les attaquants avaient lancé un transfert de domaine sortant, mais le verrouillage du transfert de cinq jours par l'ICANN a fourni à l'équipe une fenêtre cruciale pour annuler le transfert. L'équipe a directement contacté Hostinger, qui a ensuite confirmé que le compte incriminé avait été gelé et fermé. Vers 12h56 UTC, l'équipe a réussi à reprendre le contrôle du compte OVH et les services DNS ont été entièrement restaurés vers 13h55 UTC.
Par la suite, Steakhouse Financial a confirmé que tous les domaines pouvaient être utilisés en toute sécurité au 1er avril. La société a depuis pris des mesures proactives, en migrant vers un bureau d'enregistrement prenant en charge l'authentification multifacteur par clé matérielle et les verrouillages au niveau du bureau d'enregistrement, ainsi qu'en mettant en œuvre un système de surveillance DNS continue pour surveiller avec vigilance tous les domaines Steakhouse en temps réel. En outre, un processus complet d’examen de la sécurité des fournisseurs est en cours d’établissement pour tous les fournisseurs de la chaîne d’approvisionnement.
Adrian Cachinero Vasiljevic, partenaire responsable des opérations de Steakhouse Financial, a présenté des excuses personnelles, reconnaissant que l'identification de ce vecteur d'attaque était de sa responsabilité et s'engageant à poursuivre les efforts de renforcement de la sécurité. Cet incident nous rappelle brutalement l’évolution des menaces dans le paysage cryptographique et l’importance de mesures de sécurité robustes pour se prémunir contre les attaques sophistiquées d’ingénierie sociale.