SlowMist a signalé une nouvelle arnaque par hameçonnage ciblant les utilisateurs de cryptomonnaies. Cette escroquerie se fait passer pour de fausses réunions Zoom afin de diffuser un logiciel malveillant qui vole des données sensibles. Elle utilise de faux liens Zoom qui incitent les victimes à télécharger des fichiers malveillants destinés àtracleurs actifs en cryptomonnaie.
Selon la plateforme de sécurité blockchain SlowMist, les auteurs de cette escroquerie ont utilisé une technique d'hameçonnage sophistiquée, exploitant un domaine imitant celui de Zoom. Le site web frauduleux, « app[.]us4zoom[.]us », présente une interface très similaire à celle du site officiel de Zoom.
⚠️Attention aux attaques de phishing déguisées en liens de réunion Zoom !🎣 Les pirates informatiques collectent les données des utilisateurs et les déchiffrent pour voler des informations sensibles telles que les phrases mnémoniques et les clés privées. Ces attaques combinent souvent l’ingénierie sociale et des techniques de chevaux de Troie. Lire notre analyse complète ⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 décembre 2024
Les victimes sont invitées à cliquer sur un bouton « Lancer une réunion », censé les mener à une session Zoom. Or, au lieu d’ouvrir l’application Zoom, le bouton déclenche le téléchargement d’un fichier malveillant nommé « ZoomApp_v.3.14.dmg ».
Une escroquerie d'exécution de logiciels malveillants et de vol de données découverte
Une fois téléchargé, le fichier malveillant déclenche un script qui demande le mot de passe système de l'utilisateur. Ce script exécute un fichier caché nommé « .ZoomApp », conçu pour accéder à des informations système sensibles et les collecter, notamment les cookies du navigateur, les données du trousseau d'accès et lesdentdu portefeuille de cryptomonnaies.
D'après les experts en sécurité, ce logiciel malveillant cible spécifiquement les utilisateurs de cryptomonnaies dans le but de voler leurs clés privées et autres données cruciales de leurs portefeuilles. Une fois installé, le package téléchargé exécute un script nommé « ZoomApp.file »
Lors de son exécution, le script invite les utilisateurs à saisir leur mot de passe système, donnant ainsi à leur insu aux pirates informatiques l'accès à des données sensibles.
Après avoir déchiffré les données, SlowMist a révélé que le script exécute finalement un osascript , qui transfère les informations collectées vers les systèmes backend des attaquants.
SlowMist a également retracé trac création du site d'hameçonnage jusqu'à il y a 27 jours, soupçonnant l'implication de pirates informatiques russes. Ces derniers ont utilisé l'API de Telegram pour surveiller l'activité sur le site et trac si quelqu'un cliquait sur le lien de téléchargement. Selon l'analyse de la société de sécurité, les pirates ont commencé à cibler leurs victimes dès le 14 novembre.
Les fonds volés ont transité par plusieurs plateformes d'échange
outil de trac on-chain Trac pour enquêter sur les mouvements de fonds volés. L'adresse du pirate, dent comme 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, aurait permis de réaliser un profit de plus d'un million de dollars en cryptomonnaie, notamment en USD++, MORPHO et ETH.
Dans une analyse détaillée, MistTraca révélé que l'adresse du pirate informatique avait échangé USD0++ et MORPHO contre 296 ETH.
Une enquête plus approfondie a montré que l'adresse du pirate informatique recevait de petits transferts d'ETH d'une autre adresse, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, qui semblait être responsable du paiement des frais de transaction pour le système du pirate informatique.
Il a été constaté que cette adresse transférait de petites quantités d'ETH vers près de 8 800 autres adresses, ce qui laisse penser qu'elle pourrait faire partie d'une plateforme plus vaste dédiée au financement des frais de transaction pour des activités illicites.
Une fois les fonds volés collectés, ils ont transité par différentes plateformes. Binance, Gate.io, Bybit et MEXC figuraient parmi les plateformes d'échange ayant reçu les cryptomonnaies volées. Les fonds ont ensuite été regroupés sur une autre adresse, avec des transactions vers plusieurs plateformes d'échange, dont FixedFloat et Binance. Là, les fonds volés ont été convertis en Tether (USDT) et autres cryptomonnaies.
Les criminels à l'origine de cette escroquerie sont parvenus à échapper à la justice en utilisant des méthodes complexes pour blanchir et convertir leurs gains illicites en cryptomonnaies largement utilisées. SlowMist a averti les passionnés de cryptomonnaies que le site d'hameçonnage et les adresses associées pourraient continuer à cibler des utilisateurs de cryptomonnaies non avertis.
