Des pirates informatiques ciblent PayPal, Netflix et TikTok avec une nouvelle arnaque par hameçonnage.

Les utilisateurs de PayPal, Netflix et TikTok sont devenus une nouvelle cible de phishing pour les pirates informatiques utilisant un nouvel outil appelé Matrix Push C2.

D'après les informations disponibles, l'outil est accessible via un tableau de bord web. Celui-ci permet aux pirates d'envoyer des notifications, tracchaque victime en temps réel, de déterminer les notifications avec lesquelles les victimes ont interagi et de créer des liens raccourcis grâce à un service de raccourcissement d'URL intégré. De plus, ils tracles extensions de navigateur installées, y compris les portefeuilles de cryptomonnaies.

Dans un rapport, Brenda Robb, chercheuse chez Blackfog, a déclaré : « Le cœur de l'attaque réside dans l'ingénierie sociale, et Matrix Push C2 est livré avec des modèles configurables pour maximiser la crédibilité de ses faux messages […] Les attaquants peuvent facilement personnaliser leurs notifications d'hameçonnage et leurs pages de destination pour imiter des entreprises et des services connus. »

D'autres marques reconnues comme MetaMask et Cloudflare. La plateforme inclut également une section « Analyses et rapports » permettant aux clients de mesurer l'efficacité de leurs campagnes et de les optimiser selon leurs besoins.

L'attaque se déroule via le navigateur web et constitue une menace multiplateforme.

Lorsque l'escroc parvient à faire en sorte que sa victime reçoive des notifications du site, il exploite le système de notifications push intégré au navigateur web. Il s'en sert pour envoyer des alertes qui semblent provenir du système d'exploitation ou du navigateur lui-même. Cette technique repose sur l'utilisation de marques de confiance, de logos familiers et d'un langage convaincant pour maintenir la supercherie.

Ces alertes concernent par exemple les connexions suspectes ou les mises à jour du navigateur, ainsi qu'un bouton « Vérifier » ou « Mettre à jour » pratique qui, lorsqu'on clique dessus, redirige la victime vers un site frauduleux.

Cette attaque se déroule entièrement via le navigateur, sans qu'il soit nécessaire d'infecter préalablement le système de la victime. Elle s'apparente en quelque sorte à ClickFix, car les utilisateurs sont incités à suivre des instructions précises pour compromettre leurs propres systèmes, contournant ainsi les contrôles de sécurité traditionnels.

De plus, comme l'attaque se produit via le navigateur web, elle constitue également une menace multiplateforme. Cela transforme de fait toute application de navigation, quelle que soit la plateforme, abonnée aux notifications malveillantes en un client potentiel, offrant ainsi aux attaquants un canal de communication permanent.

Matrix Push a été repéré pour la première fois début octobre et est actif depuis. Cependant, aucun élément ne prouve l'existence de versions antérieures, d'une ancienne marque ou d'une infrastructure établie de longue date. Tout porte à croire qu'il s'agit d'un kit récemment lancé.

Telegram entre en scène dans le business des escrocs

Matrix Push C2 est vendu comme un kit de logiciel malveillant en tant que service (MaaS) à d'autres acteurs malveillants. Il est distribué directement via des réseaux de cybercriminalité, principalement sur Telegram et les forums spécialisés. Différents niveaux d'abonnement sont proposés : environ 150 $ par mois, 405 $ pour trois mois, 765 $ pour six mois et 1 500 $ pour un an.

Par ailleurs, selon le Dr Darren Williams, fondateur et PDG de BlackFog,  « les paiements sont acceptés en cryptomonnaie et les acheteurs communiquent directement avec l’opérateur pour y accéder ». Même Europol a mis en garde contre la sophistication croissante de l’utilisation des crypto-actifs à des fins criminelles.

Le fondateur de Telegram, Pavel Durov, a été tenu personnellement responsable de certaines activités illicites sur la plateforme de messagerie. Durov a d'abord été arrêté à Paris dans le cadre d'une enquête formelle pour son implication présumée dans des activités criminelles sur Telegram.

Les enquêteurs français accusent l'entreprise d'être utilisée pour des transactions illégales, la diffusion de matériel pédopornographique et d'autres échanges illicites, et de refuser de coopérer avec les forces de l'ordre. Telegram continue d'être considéré comme une plateforme de choix pour les criminels.

Cryptopolitan a annoncé que la France a levé l'interdiction de voyager qui pesait sur Pavel Durov, lui permettant ainsi de circuler librement. Cependant, une enquête pénale concernant sa plateforme de messagerie se poursuit.

Récemment, X  a découvert et démantelé un réseau de corruption dirigé par des utilisateurs suspendus et des escrocs aux cryptomonnaies qui auraient payé des « intermédiaires » pour corrompre des employés en échange de la réactivation de leurs comptes.