ZachXBT partage l'enregistrement vidéo d'un escroc utilisant le faux bot Telegram Safeguard, emprisonné

ZachXBT, expert en sécurité crypto, a publié une vidéo sur son compte X, révélant qu'un pirate informatique connu sous le pseudonyme de vKevin avait mis en place une escroquerie sophistiquée via un faux bot Telegram Safeguard. L'escroc aurait agi de concert avec d'autres personnes dans cette affaire, alors qu'il était scolarisé à New York.

Le 23 janvier, ZachXBT, figure reconnue de la communauté des enquêtes sur les cryptomonnaies, a publié sur la plateforme X une vidéo de 31 minutes montrant « vKevin » utilisant Telegram pour escroquer ses victimes. Dans la vidéo, on voit « vKevin » collaborer avec des complices lors d'activités d'hameçonnage visant des personnes non averties.

L’analyste en sécurité crypto répondait à une publication de l’utilisateur @pcaversaccio, qui avait mis en garde la communauté crypto contre une nouvelle tactique trompeuse sur Telegram, qu’il décrivait comme « la plus grande menace pour la sécurité actuellement »

Attention, la plus grande menace pour la sécurité actuellement, c'est l'exécution aveugle de code, l'utilisation de commandes obscures ou l'installation d'applications simplement parce qu'une personne ou un site web inconnu vous l'a conseillé. Exemple : Arrêtez d'exécuter aveuglément ces commandes PowerShell malveillantes juste parce que… pic.twitter.com/vuBDabQJNY

— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 janvier 2025

L'escroquerie consistait à inciter les victimes à vérifier leurdentvia un faux bot Safeguard. Cela permettait au pirate d'accéder sans autorisation à leurs comptes Telegram et, par conséquent, à leurs portefeuilles de trading automatisés. Une fois en possession de ces comptes, les escrocs pouvaient s'emparer des actifs des victimes, jusqu'à des centaines de milliers de dollars dans certains cas. 

Les enquêteurs ontdentune nouvelle arnaque dangereuse impliquant un bot Telegram 

D'après un article publié sur Medium par la société de sécurité blockchain SlowMist, l'arnaque Telegram se faisant passer pour une fausse plateforme de sécurité utilise deux méthodes d'infiltration. Les escrocs peuvent exploiter un bot pour inciter les utilisateurs à divulguer des informations privées, notamment leurs mots de passe et codes de vérification. Ils peuvent également installer des virus informatiques pour pirater des ordinateurs et voler directement des données.

Dans l' article publié le 18 janvier, SlowMist a décrit comment des acteurs malveillants créent de faux comptes de leaders d'opinion clés (KOL) sur X, en attachant stratégiquement des liens d'invitation à des groupes Telegram dans les commentaires pour attirertracvictimes potentielles.

Les utilisateurs qui rejoignent les « communautés » via le lien sont ensuite invités à suivre une procédure de « vérification ». S’ils suivent les instructions, un cheval de Troie d’accès à distance (RAT) malveillant exécute des commandes PowerShell qui compromettent les mesures de sécurité, permettant ainsi au pirate d’accéder au système sans autorisation.

Suite à la publication de ZachXBT, un utilisateur a demandé si le pirate informatique « vKevin » avait été victime de doxxing, ce à quoi ZachXBT a confirmé par un simple « oui » 

Il va faire les poches en prison.

(Et ouais, t'es vraiment moche, mec.) pic.twitter.com/DKcomKIk6M

— JeNeSuisPasLeLoup (@JeNeSuisPasLeLoup) 23 janvier 2025

Dans une des réponses, un utilisateur a partagé une photo du prétendu pirate, bien que certains détails précis, comme son emplacement exact ou les personnes avec lesquelles il travaillait, n'aient pas encore été divulgués.

Le même pirate informatique était responsable du piratage des serveurs Discord en 2022

vKevin serait responsable d'une autre faille de sécurité ayant entraîné de NFT le 14 août 2022. Cette information a été révélée par l'utilisateur X @Iamdeadlyz. Ce dernier a expliqué comment le pirate a attaqué le serveur Discord de DigikongNFT en y déployant un webhook sous la forme d'un faux bot MEE6. 

Ce bot a été conçu pour faciliter une attaque de phishing en utilisant un bookmarklet afin d'exfiltrer les jetons d'authentification Discord des utilisateurs. Le site de phishing associé à cette attaque était hébergé à l'adresse mee6.ca/verify, un domaine enregistré auprès du service web Namecheap et hébergé sur AWS avec l'adresse IP 23.22.5.68. 

s'agit@DigikongNFTLe serveur Discord de

/famousfoxfedaration.netlify.app

🌐@Netlify @NetlifySupport

🚩 @solanasolanafm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCkso

du ou des mêmes acteurs malveillants à l'origine de l'attaque contre @AI_Roulette.

de l'usurpateur Discord : 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW

— iamdeadlyz (@Iamdeadlyz) 14 août 2022

Les preuves des agissements de vKevin ont été partagées sur le canal général du serveur Discord, bien que la plupart des informations sensibles aient été expurgées.

Namecheap a confirmé par la suite avoir suspendu le service abusif en réponse à cette faille de sécurité, mais vKevin et d'autres pirates informatiques avaient déjà emporté les collections de NFT.