Zak Cole, développeur principal Ethereum a récemment été victime d'une tentative d'hameçonnage. L'attaquant a dissimulé un lien sous l'apparence d'une invitation à participer à un podcast. Selon Zak, cette tentative reposait sur de faux domaines et un programme d'installation malveillant visant à dérober des identifiants et des données dedentsur son ordinateur.
Lundi soir, Cole a publié un fil de discussion X de 21 messages, commençant par expliquer comment l'arnaque a débuté par un message direct sur X l'invitant à « Rejoindre notre podcast ! »
21/02
— zak.eth (@0xzak) 15 septembre 2025
Tout a commencé par un message privé sur Twitter me demandant de « Rejoindre notre podcast ! »
L’attaquant (@0xMauriceWang) se faisait passer pour quelqu’un de @theempirepod. Après un rapide coup d’œil, ça semblait crédible, alors j’ai accepté. Ensuite, j’ai reçu un e-mail de [email protected] avec un lien @StreamYard. Le texte disait… pic.twitter.com/fEvazOVFs5
L'expéditeur, utilisant le pseudonyme @0xMauriceWang sur la plateforme sociale, s'est fait passer pour un représentant du podcast Empire de Blockwork et a ensuite envoyé un courriel provenant de ce que Zak a décrit comme étant « un domaine de podcast légitime »
Un escroc a tenté d'« aider » Zak à installer une application malveillante
Selon le développeur principal d'Ether, le courriel contenait un lien affiché comme streamyard.com, mais qui redirigeait en réalité vers streamyard.org. Lorsque Cole a cliqué dessus, la page a affiché un message d'erreur de connexion et l'a invité à télécharger une application de bureau pour continuer.
Dans les captures d'écran que Cole a partagées sur son fil de discussion X, il a d'abord refusé d'effectuer l'installation en raison des politiques de sécurité de son entreprise, mais l'attaquant l'a supplié de l'ajouter « juste cette fois », allant même jusqu'à lui envoyer un tutoriel vidéo pour montrer comment installer la prétendue application.
« Salut, c'est StreamYard, ils ont plus de 3 millions d'utilisateurs. J'ai aussi un portable pro, mais ça marche nickel. La version navigateur fonctionne à peine, peut-être une fois sur vingt. Je suis presque sûr qu'ils la gardent pour le marketing, mais en pratique, tout le monde finit par utiliser l'appli bureau. Bien plus stable… » disait le message.
C’est alors que Cole a vu « des signaux d’alarme partout » et a téléchargé le paquet sur une machine de laboratoire contrôlée au lieu de son ordinateur professionnel.
À l'intérieur du fichier DMG, il a trouvé un fichier binaire Mach-O caché nommé « .Streamyard », un chargeur Bash et une fausse icône de terminal destinée à inciter les utilisateurs à la glisser pour obtenir un accès au niveau système.
Il a décrit le programme de chargement comme un « jeu de poupées russes », expliquant comment il concaténait des fragments base64, les déchiffrait avec une clé, réencodait le résultat et l'exécutait. Chaque étape était conçue pour échapper à la détection antivirus.
« Décodée hors ligne, la deuxième étape consistait en un script AppleScript qui localisait le volume monté, copiait le fichier .Streamyard dans /tmp/.Streamyard, levait la quarantaine avec xattr -c, chmod +x, puis s'exécutait. Silencieux, chirurgical et redoutable », expliqua le développeur en notant la ligne de code.
Cole a ajouté que si une victime désactivait Gatekeeper sur macOS ou tombait dans le piège de l'hameçonnage par glisser-déposer dans le Terminal, le logiciel malveillant aurait tout exfiltré silencieusement, y compris les mots de passe, les portefeuilles de cryptomonnaie, les courriels, les messages et les photos.
Une conversation avec l'attaquant révèle l'utilisation de services de logiciels malveillants sous contrat
Au lieu de mettre fin à l'opération, Cole a rejoint une conversation téléphonique en direct avec l'escroc après lui avoir demandé de l'aide. Ce dernier semblait nerveux et lisait un texte préparé tout en essayant de le guider à travers la fausse installation.
Au cours de la session d'appel vidéo, le programmeur d'Ether a commencé à partager son écran, faisant défiler un dossier de vidéos explicites de Kim Jong Un pour déstabiliser l'attaquant.
Alors qu'il insistait pour obtenir des réponses sur les raisons pour lesquelles cela ne fonctionnait pas, l'escroc a admis qu'il ne faisait pas partie d'une opération soutenue par un État, mais qu'il appartenait à une communauté active de pirates informatiques qui avaient loué un kit de phishing pour environ 3 000 dollars par mois.
Cole a noté que l'attaquant utilisait des termes familiers comme « pote » pour faire croire à ses victimes qu'il se trouvait au Royaume-Uni ou à proximité des États-Unis. L'attaquant a également révélé qu'il ne contrôlait pas directement l'infrastructure et ne pouvait pas gérer les domaines contenant la charge utile ; il utilisait un service de cybercriminalité à bas coût
14/21
— zak.eth (@0xzak) 15 septembre 2025
Le plus drôle, c'est qu'ils ont utilisé https://t.co/3gJrz4EVIl pour la livraison (points de terminaison load.*.php?call=stream) et https://t.co/NqE3HGJVms (@streamyardapp) comme appât, et les deux ont maintenant été détruits (merci @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
D'après les conclusions de VirusTotal, une société de renseignements sur la sécurité informatique basée sur la participation du public, l'infrastructure de diffusion utilisée était lefenari.com, qui hébergeait des charges utiles via des points de terminaison automatisés, et streamyard.org, utilisé comme appât. Ces deux domaines sont désormais désactivés, avec l'aide de la société de cybersécurité Security Alliance.
