Crypto Security Sleuth Zachxbt a partagé un enregistrement vidéo sur son compte X, exposant un pirate connu sous le nom de Vkevin lors d'une arnaque sophistiquée via un faux bot de télégramme de Safeguard. L'exploiteur était censé travailler avec d'autres acteurs dans le con alors qu'il était dans une école de New York.
Le 23 janvier, Zachxbt, une figure bien connue de la communauté d'investigation de la crypto, a publié une vidéo de 31 minutes sur la plate-forme de médias sociaux X qui a capturé 'Vkevin' utilisant Telegram pour escroquer l'argent des victimes. Dans la vidéo, «Vkevin» a été vu en collaboration avec les complices tout en se livrant à des activités de phishing visant des victimes sans méfiance.
L'analyste de la sécurité de la crypto répondait à un poste publié par l'utilisateur @pcaversaccio, qui avait averti la communauté cryptographique de la nouvelle tactique trompeuse sur Telegram, qu'il a décrit comme la «plus grande menace de sécurité en ce moment».
Les gens, la plus grande menace de sécurité en ce moment est les gens qui exécutent aveuglément du code, invoquant des commandes obscures ou installant des applications simplement parce qu'une personne aléatoire ou un site Web leur a dit. Exemple: putain d'arrêter d'exécuter aveuglément ces commandes _malicious_ powershell juste parce que… pic.twitter.com/vubdabqjny
- sudo rm -rf –no-préserve-root / (@pcaversaccio) 23 janvier 2025
L'escroquerie impliquait de tromper les victimes àdentleur bot de la fausse sauvegarde. Cela a permis au pirate d'obtenir un accès non autorisé à leurs comptes de télégramme et, par la suite, à leurs portefeuilles de bot de trading. Une fois sur place, les exploiteurs pourraient transporter les actifs des victimes, jusqu'à des centaines de milliers de dollars dans certains cas.
Enquêteurs Identify New Dangerous Telegram Bot Scam
Selon un explicateur moyen de la société de sécurité de la blockchain Slowmist, la fausse arnaque du télégramme de sauvegarde a deux méthodes d'infiltration. Les escrocs peuvent tirer parti du bot pour solliciter les utilisateurs pour donner des informations privées, y compris les mots de passe et les codes de vérification. Ils peuvent également planter des virus de logiciels malveillants pour pirater des ordinateurs et voler directement des informations.
Dans l' article publié le 18 janvier, Slowmist a décrit comment les acteurs malveillants créent des récits contrefaits des principaux leaders d'opinion (KOLS) sur X, attachant stratégiquement les liens d'invitation du groupe Telegram dans les commentaires aux trac T.
Les utilisateurs qui rejoignent les «communautés» via le lien sont ensuite accueillis avec des demandes de processus de «vérification». S'ils suivent les étapes, un agent de Troie (rat) à accès à distance malveillant libére les commandes PowerShell qui compromettent toutes les installations de sécurité, permettant au pirate d'accéder au système sans autorisation.
Après le post de Zachxbt, un utilisateur a demandé si le pirate «vkevin» avait été doxxe, auquel Zachxbt a confirmé avec un simple «oui».
Il va tenir des poches en prison.
– Je ne suis pas le loup (@ImNotTheWolf) 23 janvier 2025
(Et oui, tu as l'air laid) pic.twitter.com/dkcomkik6m
Dans l'une des réponses, un utilisateur a partagé une photo du prétendu exploiteur, bien que certains détails spécifiques, comme son emplacement immédiat ou avec qui il travaillait, aient encore été divulgués.
Le même pirate était responsable de la violation du serveur Discord en 2022
Vkevin était prétendument responsable d'une autre violation du réseau qui a vu de NFT perdre plus de 300 000 $ le 14 août 2022. La mise à jour a été révélée par l'utilisateur X @iamdeadlyz. Ils ont expliqué comment le pirate a attaqué la discorde de Digikongnft lorsqu'il a déployé un webhook sous la forme d'un faux bot MEE6, au sein du serveur.
Ce bot a été conçu pour faciliter une attaque de phishing en utilisant un bookmarklet pour exfiltrer les jetons d'authentification Discord des utilisateurs. Le site de phishing lié à cette attaque a été hébergé sur MEE6.ca/verify , un domaine enregistré via le service Web NameCheap et hébergé sur AWS avec l'adresse IP 23.22.5.68.
. Le
- iamdeadlyz (@iamdeadlyz) 14 août 2022
serveur
solana de
@digikongnft
est
compromis /famousfoxfedaration.netlify.app
🌐 @Netlif 73053093908 https://t.co/3k6miie3ky pic .twitter.com / nxenwxtrsw
Les preuves des actions de Vkevin ont été partagées sur le canal général du serveur Discord, bien que la plupart des informations sensibles aient été expurgées.
Namecheap a confirmé plus tard qu'ils avaient suspendu le service abusif en réponse à cette violation de sécurité, mais Vkevin et d'autres pirates avaient déjà fait avec les collections NFT.
Cryptopolitan Academy : faites-vous ces erreurs de CV Web3 ? - Découvrez ici