La communauté crypto a partagé plusieurs rapports faisant état de vols d’actifs numériques à la suite d’une « mise à jour Zoom » qui installerait en réalité un logiciel malveillant sur l’appareil de ses victimes. Le stratagème commence par une invitation d’un contact à rejoindre une vidéoconférence et se termine par une purge complète des portefeuilles des victimes.
Nous vous expliquons comment fonctionne ce nouveau stratagème et ce que vous devriez faire afin d’éviter de tomber dans les pièges des escrocs.
Vol de cryptomonnaies via Zoom
Un stratagème utilisé pour le vol de cryptos repose généralement sur une combinaison d’ingénierie sociale et d’un élément technique astucieux. Tout commence lorsque le compte d’une victime déjà piratée écrit à une connaissance. C’est ainsi que les escrocs endorment la confiance de leur cible, car le contact n’est pas un inconnu.
Ensuite, la victime se voit proposer de poursuivre la communication sur Zoom. Les prétextes peuvent varier. Par exemple, les fraudeurs peuvent se plaindre de la mauvaise qualité de la communication sur Telegram ou d’autres messageries par lesquelles ils sont initialement entrés en contact avec la cible.
La fraude suit ainsi le processus suivant :
- Usurpation de la plateforme. Au lieu d’un véritable lien vers Zoom, une URL est envoyée vers une page clone qui s’ouvre directement dans le navigateur. L’image d’une connaissance générée par l’IA peut être diffusée à la victime par liaison vidéo.
- Problèmes techniques. L’image générée par l’IA peut commencer à se plaindre de problèmes techniques, tels que l’absence de son. Pour soi-disant résoudre le problème, la victime est invitée à télécharger le fichier zoom_sdk_support. En réalité, on lui propose de télécharger un programme malveillant, dont le but est de voler ses cryptomonnaies.
- Le programme malveillant se trouve sur le système. Le fichier infecté télécharge les détails du programme nécessaires au vol et accède aux phrases de démarrage et aux cookies de session des portefeuilles.
À en juger par les rapports sur le réseau, les fraudeurs utilisent le plus souvent ce schéma, en modifiant occasionnellement l’un de ses composants.
Selon Huntress, huit fichiers binaires ont été détectés sur le Mac infecté, allant d’un faux logiciel censé mettre à jour Telegram à une porte dérobée permettant d’exécuter des commandes à distance.
En ligne, des victimes affirment avoir perdu la plupart de leurs économies à cause de ce stratagème.
De plus, les utilisateurs qui sont tombés dans le piège affirment que les attaquants restent en contact avec eux même après avoir volé leur crypto afin de les moquer.
Par ailleurs, les victimes de ce stratagème ne sont pas seulement des utilisateurs individuels, mais aussi des entreprises entières. Des cas de vol de fonds de ce type sont notamment connus du fonds Hypersphere Capital.
Qui est à l’origine de ces attaques ?
Bien que les experts ne parviennent pas encore à s’accorder sur les responsables de ces attaques. Les organisations suivantes pourraient être impliquées :
- BlueNoroff / TA444 : une cellule filiale de Lazarus Group spécialisée dans le vol de cryptomonnaies.
- SNE et Scamquerteo : équipes russophones qui vendent des kits de drainage de fonds.
Comment s’en protéger ?
| Nos recommandations | Pourquoi est-ce important ? |
|---|---|
| Vérifiez le domaine. Vous devez vous assurer que vous êtes bien invité sur Zoom et non sur une fausse plateforme s’y apparentant. | Les fausses URL sont souvent déguisées en sous-domaine. |
| N’installez jamais de kits « correctifs » pendant un appel. Si quelqu’un essaie de vous convaincre d’installer immédiatement un logiciel, ignorez sa demande. | La véritable application Zoom effectue uniquement des mises à jour par le biais du client. |
| Gardez des environnements séparés. Un navigateur normal pour les courriels et les appels, un environnement différent pour le travail avec les portefeuilles ; il est préférable d’avoir un PC séparé. | Réduit le risque de vol croisé de cookies et de phrases de démarrage. |
| Conservez vos crypto-monnaies dans des portefeuilles de stockage à froids. Ainsi, les fraudeurs n’auront pas accès à vos actifs. | Même si le système d’exploitation est compromis, l’attaquant ne signera pas la transaction. |
| Utilisez l’authentification à deux facteurs sur vos applications de messagerie. | Réduit les risques de piratage qui démarrent par du phishing. |
Ainsi, alors que les enquêtes se poursuivent au sujet de ce cas de fraude, il est conseillé aux plateformes comme aux fournisseurs de portefeuilles de surveiller de près les connexions aux comptes et de révoquer tout jeton d’accès suspect.
Morale de l’histoire : Moins les fonds sont physiques, plus ils deviennent faciles à voler.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
