Portefeuilles de cryptomonnaies attaqués : arnaques sociales découvertes

Les utilisateurs de cryptomonnaies sont à nouveau la cible d'une cybercriminalité de plus en plus sophistiquée. Selon de nouvelles conclusions de Darktrace, des acteurs malveillants exploitent les réseaux sociaux, les fausses startups et les plateformes légitimes pour inciter les utilisateurs à télécharger des logiciels malveillants qui vident leur portefeuille.

Ce système complexe d'ingénierie sociale, révélé pour la première fois fin 2024, s'est transformé en un vaste réseau de fausses identités, d'entreprises technologiques d'imitation et de canaux de communication militarisés, tous conçus pour voler des actifs numériques. En imitant l'esthétique et le comportement d'une véritable IA, les jeux et Web3 des entreprises, des escrocs ont réussi à briser les défenses de centaines d'utilisateurs sans méfiance.

Une menace familière mais en constante évolution

Il y a près d'un an, la société de cybersécurité Cado Security Labs a découvert une campagne ciblant Web3 employés Avec des plateformes de réunion frauduleuses. Connue sous le nom de campagne « Meeten », elle utilisait un faux logiciel de visioconférence pour diffuser un logiciel malveillant appelé Realst. Les victimes étaient invitées à participer à de fausses réunions sous couvert de discussions de partenariat ou d'investissement. Une fois le logiciel téléchargé, leurs appareils étaient compromis.

Darktrace a désormais confirmé que cette campagne reste active en 2025. Les tactiques se sont étendues au-delà des applications vidéo pour inclure de fausses entreprises d'IA, de jeux et de médias sociaux. 

Tara Gould, chercheuse chez Darktrace, A déclaré que ces opérations malveillantes « usurpent l'identité de l'IA, des jeux et Web3 des entreprises » utilisant des comptes de réseaux sociaux falsifiés et des documents de projet hébergés sur des plateformes légitimes.

Startups fictives, conséquences réelles

Le scénario est d'une précision inquiétante. Les cybercriminels construisent des sociétés fictives, dotées de sites web et de billets de blog convaincants. whitepapers, et même de faux profils d'employés. X (anciennement Twitter), Medium, GitHub et Notion sont couramment utilisés pour héberger du contenu de projet, de la documentation technique et des feuilles de route.

Certaines des escroqueries les plus convaincantes s'appuient sur des comptes X vérifiés et compromis appartenant à de véritables personnes ou entreprises. Ces comptes, comptant des milliers d'abonnés et des années d'activité, confèrent aux escrocs une crédibilité certaine. 

Une fois une fausse entreprise créée, les attaquants lancent des opérations marketing à grande échelle. Des publications sur les étapes clés du développement logiciel, les participations à des événements et les boutiques de produits dérivés remplissent leurs fils d'actualité pour renforcer l'authenticité.

Un exemple frappant est un studio de jeux blockchain fictif appelé « Décadence éternelle ” La fausse entreprise a utilisé des photos retouchées pour suggérer qu'elle présentait des conférences majeures, alors qu'aucun jeu de ce type n'existait. Son compte GitHub incluait des projets open source clonés déguisés en code original. Même une fiche du Registre des sociétés du Royaume-Uni a été falsifiée en utilisant un lien vers une véritable entreprise portant le même nom.

Comment les victimes sont ciblées

L'attaque débute souvent sur des plateformes comme X, Discord ou Telegram. Un prétendu employé contacte la cible et lui propose de tester un logiciel préliminaire en échange de cryptomonnaies. 

La victime est redirigée vers une page de téléchargement, reçoit un code d'enregistrement et est invitée à installer l'application. Selon le système, elle télécharge une application macOS DMG ou Windows Electron. Ces binaires contiennent Realst ou un logiciel malveillant similaire.

De là, le logiciel malveillant s'infiltre discrètement dans le système. Il extrait les données du navigateur, les jetons d'authentification, les mots de passe et, surtout, les clés privées des portefeuilles cryptographiques. Les utilisateurs ne se rendent souvent compte que leurs portefeuilles ont été compromis qu'une fois leurs fonds épuisés.

La variante GrassCall

Le vecteur d'attaque n'est pas resté statique. Une campagne connexe baptisée « Appel d'herbe » a récemment fait surface, ciblant les demandeurs d'emploi dans le Web3 Espace. Le logiciel malveillant était intégré à une application de réunion frauduleuse promue via de fausses offres d'emploi et de faux entretiens. Les victimes qui ont téléchargé le logiciel sans le savoir ont permis au logiciel malveillant d'accéder aux données sensibles de leurs appareils.

Cette variante, attribuée à une équipe de trafiquants russophones connue sous le nom de Crazy Evil, s'appuyait sur de fausses identités d'entreprise élaborées. Dans un cas, les escrocs se sont fait passer pour « ChainSeeker.io » et ont créé une suite complète de faux comptes sur les réseaux sociaux et de faux sites web professionnels. Ils ont même payé pour des annonces premium sur des sites d'emploi comme LinkedIn, WellFound et CryptoJobsList pour attirer les clients. Web3 les professionnels dans leur piège.

Les victimes ayant participé à ces fausses interviews ont rapidement vu leurs portefeuilles vidés. Un groupe de soutien Telegram a été créé par les personnes concernées, offrant des conseils sur la suppression des logiciels malveillants et la récupération du système.

Un signal d'alarme de 650 millions de dollars

Le risque ne se limite pas aux particuliers. Les autorités fédérales ont également sévi contre les escroqueries à grande échelle exploitant le secteur des cryptomonnaies. Plus tôt cette année, le ministère américain de la Justice a rendu publiques les mises en examen de Michael Shannon Sims et Juan Carlos Reynoso, les cerveaux présumés d'OmegaPro. un système pyramidal mondial de cryptomonnaies .

En activité entre 2019 et 2023, OmegaPro promettait un rendement de 300 % sur 16 mois grâce au trading Forex. Les investisseurs ont été séduits par les réseaux sociaux : Sims et Reynoso ont mis en avant leur style de vie luxueux et ont même projeté le logo de l'entreprise sur la Burj Khalifa pour feindre la légitimité.

Guy Ficco, chef des enquêtes criminelles de l'IRS, a déclaré que l'escroquerie « promettait la liberté financière, mais conduisait à la ruine ». Les deux hommes sont désormais accusés de complot en vue de commettre une fraude électronique et de blanchiment d'argent, passibles chacun d'une peine pouvant aller jusqu'à 20 ans de prison.

Après avoir affirmé avoir été piraté, OmegaPro a dirigé les victimes vers une nouvelle plateforme, Broker Group, à partir de laquelle les utilisateurs n'ont pas pu retirer leurs fonds.

Le rôle des médias sociaux dans la criminalité financière

La persistance et l'efficacité de ces escroqueries soulignent le potentiel obscur des réseaux sociaux pour faciliter la criminalité financière. En combinant comptes vérifiés, contenu généré par l'IA, sites web clonés et code volé, ces escrocs créent des écosystèmes qui imitent fidèlement les entreprises réelles. L'utilisation de plateformes comme GitHub et Notion confère une légitimité technique à cette arnaque.

Parallèlement, des plateformes comme X et Discord permettent une communication directe avec les victimes potentielles. Le caractère informel de ces plateformes réduit souvent le scepticisme, en particulier dans le secteur des cryptomonnaies et Web3 des communautés où la sensibilisation et la collaboration sont monnaie courante.

Avertissements et mesures défensives

Les experts en cybersécurité recommandent aux utilisateurs de rester vigilants lorsqu'ils sont sollicités pour des tests bêta ou des offres d'emploi liées à des projets cryptographiques. Même si un projet semble légitime, il est conseillé de vérifier les registres de l'entreprise, les enregistrements de domaine et l'historique des comptes sur les réseaux sociaux. Il est fortement déconseillé de télécharger des logiciels provenant de sources inconnues, sauf vérification par des canaux fiables.

Joao Wedson, PDG d'Alphractal, a averti les utilisateurs que « des attaques de faible volume comme celles-ci peuvent facilement passer inaperçues », mais représentent néanmoins une menace importante. En imitant de véritables éditeurs de logiciels, ces campagnes exploitent non seulement les vulnérabilités techniques, mais aussi la confiance humaine.

En résumé

Le pillage des portefeuilles de cryptomonnaies par des escroqueries sophistiquées sur les réseaux sociaux n'est pas un phénomène nouveau, mais il devient de plus en plus dangereux et de plus grande ampleur. L'essor de l'IA et de la finance décentralisée a élargi la surface d'attaque des acteurs malveillants, leur permettant de construire des mensonges complexes sur de multiples plateformes.

Les dernières découvertes de Darktrace révèlent que la menace est non seulement persistante, mais aussi en constante évolution, les fausses entreprises et les mécanismes de diffusion de logiciels malveillants devenant de plus en plus complexes. Entre faux entretiens d'embauche, téléchargements de logiciels frauduleux et fausses plateformes de cryptomonnaies, les utilisateurs doivent s'aventurer dans le monde des cryptomonnaies avec une prudence accrue.

Tant que les plateformes ne renforceront pas la vérification et l'authentification des comptes, et que les utilisateurs n'adopteront pas des mesures de sécurité plus strictes, ces stratagèmes élaborés continueront probablement de faire des victimes. Comme toujours, si quelque chose semble trop beau pour être vrai en cryptomonnaie, c'est probablement le cas.