Les fausses applications sont intégrées au malware Realst, un outil de vol d'informations. Ces attaques ciblent des données sensibles, notamment les identifiants de portefeuilles de crypto-monnaies. On s'attend à ce que ces applications soient liées à la Corée du Nord, tout comme l'exploit de 50 millions de dollars de Radiant Capital. Entre-temps, les autorités ont fait quelques progrès avec l'arrestation de Dmitry V., ancien directeur de WEX, une bourse de crypto-monnaies liée à la fraude et au blanchiment d'argent.
Les employés de Web3 menacésLes professionnels du Web3 sont la cible d'une campagne de malware sophistiquée qui utilise de fausses applications de réunion pour voler des informations sensibles, notamment des identifiants de sites Web, des applications et des portefeuilles de cryptomonnaies. Selon un rapport de Cado Security Labs, les escrocs utilisent l'intelligence artificielle pour créer des sites Web et des profils de médias sociaux d'apparence légitime pour des entreprises frauduleuses. Ces plateformes sont utilisées pour inciter les cibles à télécharger une application de réunion malveillante. L'application s'appelait auparavant « Meeten », mais elle s'appelle désormais « Meetio » et change fréquemment de nom de marque. Elle opérait auparavant sous des domaines tels que Clusee.com, Meeten.gg et Meetone.gg.L'application contient un malware de vol d'informations Realst conçu pour extraire des informations critiques, notamment les identifiants Telegram, les coordonnées bancaires et les identifiants de portefeuille cryptographique, qui sont ensuite envoyés aux attaquants. Le malware peut également récolter des cookies de navigateur, remplir automatiquement les informations d'identification des navigateurs Web tels que Google Chrome et Microsoft Edge, et même accéder aux données liées aux portefeuilles matériels tels que Ledger et Trezor, ainsi qu'aux portefeuilles Binance.La campagne utilise également des tactiques d'ingénierie sociale, les escrocs se faisant parfois passer pour des contacts connus afin d'instaurer la confiance. Dans un cas, une cible a déclaré avoir été approchée sur Telegram par une personne se faisant passer pour un collègue et avoir reçu une présentation d'investissement volée à sa propre entreprise. D'autres victimes ont raconté avoir participé à des appels liés à des projets Web3, avoir téléchargé le logiciel malveillant et avoir ensuite perdu leur cryptomonnaie.Fausse application de réunion (Source : Cado Security )Pour renforcer encore leur crédibilité, les escrocs ont créé des sites Web d’entreprise remplis de blogs, de descriptions de produits et de comptes de réseaux sociaux générés par l’IA sur des plateformes comme X et Medium. Cette utilisation de l’IA leur permet de produire très rapidement du contenu très convaincant, ce qui rend leurs opérations frauduleuses légitimes et plus difficiles à détecter. Dans certains cas, leurs faux sites Web incluent du JavaScript capable de voler les crypto-monnaies stockées dans les navigateurs Web avant même que le logiciel malveillant ne soit téléchargé.La campagne cible à la fois les utilisateurs de macOS et de Windows et est active depuis près de quatre mois. Des escroqueries similaires ont été observées dans le domaine des crypto-monnaies. L'enquêteur ZackXBT a découvert un groupe de 21 développeurs, vraisemblablement nord-coréens, travaillant sur des projets utilisant de fausses identités. En septembre, le FBI a également émis un avertissement concernant les pirates informatiques nord-coréens déployant des logiciels malveillants déguisés en offres d'emploi pour cibler les sociétés de crypto-monnaies et les plateformes financières décentralisées.Un groupe nord-coréen à l'origine de la brèche dans Radiant CapitalRadiant Capital a révélé que le piratage de 50 millions de dollars sur sa plateforme de finance décentralisée (DeFi) en octobre avait été orchestré par un pirate informatique lié à la Corée du Nord qui s'était infiltré sur la plateforme à l'aide d'un logiciel malveillant distribué via Telegram. L'attaquant s'est fait passer pour un ancien sous-traitant de confiance et a envoyé un fichier zip à un développeur de Radiant le 11 septembre sous prétexte de demander des commentaires sur un nouveau projet. La société de cybersécurité Mandiant , sous contrat avec Radiant, a confirmé avec une grande confiance que l'attaque avait été menée par un acteur malveillant affilié à la République populaire démocratique de Corée (RPDC).Le fichier zip malveillant semblait légitime en raison de son caractère courant dans les environnements professionnels et a été partagé entre les développeurs. Cela a permis au logiciel malveillant d'infecter plusieurs appareils. Les attaquants ont ensuite pris le contrôle des clés privées et des contrats intelligents, ce qui a forcé Radiant à interrompre ses activités de prêt le 16 octobre. Le logiciel malveillant a également usurpé le site Web légitime du sous-traitant, trompant encore plus les développeurs. Alors que les vérifications traditionnelles et les simulations de transactions n'ont révélé aucune irrégularité, les attaquants ont manipulé l'interface frontale pour afficher des données de transaction bénignes tout en exécutant des transactions malveillantes en arrière-plan.L'auteur de la menace a été identifié comme « UNC4736 » ou « Citrine Sleet », et est associé au Bureau général de reconnaissance de la Corée du Nord et pourrait être un sous-groupe du tristement célèbre groupe Lazarus. Après l'attaque, 52 millions de dollars des fonds volés ont été transférés par les pirates le 24 octobre. Selon Radiant, même des mesures de sécurité plus avancées, notamment des portefeuilles matériels, des outils de simulation comme Tenderly et des procédures opérationnelles standard du secteur, n'étaient pas suffisantes contre une menace aussi sophistiquée.TVL radiante (Source : DefiLlama )Cet incident est le deuxième compromis majeur pour Radiant cette année, et s'est produit après un exploit de prêt flash de 4,5 millions de dollars en janvier . Une attaque de prêt flash crypto est un type d'exploit sur les plateformes DeFi où un attaquant profite des prêts flash pour manipuler les conditions du marché ou exploiter les vulnérabilités des contrats intelligents. Les prêts flash sont des prêts non garantis qui doivent être empruntés et remboursés en une seule transaction blockchain. Les attaquants utilisent ces prêts pour exécuter des séquences d'actions complexes qui peuvent, par exemple, manipuler le prix des actifs, tromper les contrats intelligents pour débloquer des fonds ou vider les réserves de liquidités. Comme le prêt et le remboursement se produisent presque instantanément, l'attaquant peut en tirer profit sans risquer son propre capital. La série de piratages a sérieusement affecté la réputation de la plateforme, sa valeur totale bloquée chutant de plus de 300 millions de dollars à la fin de l'année dernière à seulement 6,07 millions de dollars au 9 décembre, selon DefiLlama .Les autorités polonaises arrêtent l’ancien chef du WEX, Dmitry V.Bien que la crypto-criminalité soit toujours un problème, les autorités travaillent d'arrache-pied pour traduire ces criminels en justice. Les autorités polonaises ont arrêté Dmitry V., l'ancien directeur de la bourse de crypto-monnaies russe WEX, à Varsovie, après une demande d'extradition du ministère américain de la Justice. Le nom complet de Dmitry V. n'a pas été dévoilé en raison des lois locales. Il est accusé de fraude et de blanchiment d'argent pendant sa gestion de WEX, successeur de BTC-e. L' arrestation a été confirmée par un porte-parole de la police polonaise, qui a déclaré que Dmitry V. est en détention et attend une procédure d'extradition. S'il est extradé vers les États-Unis, il pourrait être condamné à une peine de prison maximale de 20 ans.Dmitry V. a été arrêté et libéré dans plusieurs pays. En août 2021, il a été détenu en Pologne, mais libéré après 40 jours. Il a été de nouveau arrêté en Croatie en 2022 par Interpol à l'aéroport de Zagreb après une demande d'extradition du Kazakhstan. En 2019, les autorités italiennes l'ont arrêté, mais il a ensuite été libéré lorsque des erreurs dans la demande d'extradition ont été découvertes.WEX s’est effondré en 2018, laissant environ 450 millions de dollars non comptabilisés. La plateforme était souvent décrite comme une bourse « sombre » et était connue pour son manque de vérification d’identité et son implication dans le blanchiment de fonds provenant de piratages cryptographiques de grande envergure, notamment la violation de Mt. Gox. À son apogée, WEX a traité plus de 9 milliards de dollars de transactions provenant de plus d’un million d’utilisateurs, dont de nombreux aux États-Unis.Cette dernière arrestation de WEX intervient après les événements survenus avec Alexander Vinnik, l'ancien directeur de BTC-e, le prédécesseur de WEX. Vinnik était surnommé « M. Bitcoin » et a plaidé coupable de complot en vue de commettre un blanchiment d'argent pour des activités entre 2011 et 2017. Il a été arrêté en Grèce en 2017, puis extradé vers les États-Unis en 2022 après avoir purgé deux ans dans une prison française.
#ScamRiskWarning #ScamAlert #Web3 #CryptoNewss