Zak di Ethereumpreso di mira da una sofisticata truffa tramite "software per podcast"

Lo sviluppatore del core Ethereum Zak Cole, è stato recentemente preso di mira da un'operazione di phishing, in cui l'aggressore ha camuffato un link come invito a partecipare a un podcast. Secondo Zak, il tentativo si è basato su domini falsi e su un programma di installazione dannoso per rubaredente dati crittografici dal suo computer. 

Lunedì sera Cole ha scritto un thread X di 21 post, iniziando con il racconto di come la truffa è iniziata con un messaggio diretto su X che lo invitava a "unirsi al nostro podcast!"

2/21

Tutto è iniziato con un messaggio privato su Twitter per "Unirti al nostro podcast!".

L'aggressore (@0xMauriceWang) si è spacciato per qualcuno di @theempirepod. Sembrava legittimo dopo una rapida occhiata, quindi ho accettato. Poi è arrivata un'email da [email protected] con un link di @StreamYard. Il testo diceva... pic.twitter.com/fEvazOVFs5

— zak.eth (@0xzak) 15 settembre 2025

Il mittente, che utilizzava l'handle @0xMauriceWang sulla piattaforma social, si è spacciato per un rappresentante del podcast Empire di Blockwork e ha risposto con un'e-mail da quello che Zak ha definito "un dominio di podcast legittimo"

Un phisher ha cercato di "aiutare" Zak a installare un'app dannosa

Secondo lo sviluppatore di Ether Core, l'email conteneva un link visualizzato come streamyard.com, ma in realtà era un collegamento ipertestuale a streamyard.org. Quando Cole ha cliccato, la pagina ha restituito un messaggio di "errore di accesso" e gli ha chiesto di scaricare un'applicazione desktop per continuare.

Negli screenshot condivisi da Cole sul suo thread X, inizialmente ha rifiutato di effettuare l'installazione a causa delle politiche di sicurezza della sua azienda, ma l'aggressore lo ha implorato di aggiungerla "solo questa volta", inviando persino un tutorial video per mostrare come installare la presunta app. 

"Amico, è StreamYard, hanno oltre 3 milioni di utenti. Anch'io ho un portatile aziendale, ma va tutto bene. La versione browser funziona a malapena, forse 1 tentativo su 20 si connette davvero. Sono abbastanza sicuro che la usino solo per marketing, ma in pratica tutti finiscono per usare l'app desktop. Molto più stabile..." si leggeva nel messaggio.

Fu allora che Cole vide "segnali d'allarme ovunque" e scaricò il pacchetto su una macchina di laboratorio controllata invece che sul suo computer di lavoro. 

All'interno del file DMG, ha trovato un binario Mach-O nascosto denominato ".Streamyard", un caricatore Bash e una falsa icona del Terminale pensata per indurre gli utenti a trascinarla per ottenere l'accesso a livello di sistema.

Ha descritto il loader come una "matrioska di stronzate", spiegando come concatenasse frammenti base64, li decriptasse con una chiave, ricodificasse il risultato e lo eseguisse. Ogni passaggio era mirato a eludere il rilevamento antivirus.

"Decodificato offline, Stage2 era un AppleScript che trovava il volume montato, copiava .Streamyard in /tmp/.Streamyard, rimuoveva la quarantena con xattr -c, chmod +x, quindi eseguiva. Silenzioso, chirurgico e letale", ha spiegato lo sviluppatore, annotando la riga di codice.

Cole ha aggiunto che se una vittima avesse disabilitato macOS Gatekeeper o fosse caduta nella trappola del phishing Terminal Drag, il malware avrebbe silenziosamente esfiltrato tutto, comprese password, portafogli crittografici, e-mail, messaggi e foto.

La conversazione con l'aggressore rivela servizi di malware assunti

Invece di interrompere l'operazione, Cole ha partecipato a una chiamata in diretta con il truffatore dopo avergli chiesto aiuto, il quale sembrava nervoso e leggeva un copione mentre cercava di guidarlo attraverso la falsa installazione. 

Durante la sessione di videochiamata, il programmatore di Ether ha iniziato a condividere lo schermo, scorrendo una cartella di video espliciti di Kim Jong Un per destabilizzare l'aggressore.

Mentre insisteva per avere risposte sul perché non funzionasse, il truffatore ha ammesso di non far parte di un'operazione finanziata dallo Stato, ma di far parte di una comunità attiva di hacker che aveva noleggiato un kit di phishing per circa 3.000 dollari al mese. 

Cole ha osservato che l'aggressore ha utilizzato espressioni colloquiali come "mate" (amico) per indurre le vittime a credere di trovarsi nel Regno Unito o in prossimità degli Stati Uniti. L'aggressore ha anche rivelato di non avere il controllo diretto dell'infrastruttura e di non essere in grado di gestire i domini del payload, e di utilizzare un "budget cybercrime as a service"

14/21

Il bello è che hanno usato https://t.co/3gJrz4EVIl per la consegna (load.*.php?call=stream endpoints) e https://t.co/NqE3HGJVms (@streamyardapp) come esca ed entrambi sono stati bruciati (grazie @_SEAL_Org). pic.twitter.com/B0zbCmxzpj

— zak.eth (@0xzak) 15 settembre 2025

Secondo i risultati dell'analisi di VirusTotal, società di intelligence sulla sicurezza basata sul crowdsourcing, l'infrastruttura di distribuzione utilizzata era lefenari.com, che ospitava payload tramite endpoint scriptati, e streamyard.org, utilizzato come esca. Entrambi i domini sono ora disattivati, con l'assistenza dell'azienda di sicurezza informatica Security Alliance.