Escroquerie Crypto : Comment les Fausses Startups Piratent les Portefeuilles des Investisseurs
Les arnaqueurs surfent sur la hype crypto – et vos actifs numériques sont dans leur ligne de mire.
Des startups fantômes promettant des rendements mirobolants ciblent désormais les portefeuilles blockchain. Leur arme ? Des smart contracts piégés, des tokens bidons et le bon vieux phishing 2.0.
Méfiance accrue sur le DeFi : Les plateformes décentralisées deviennent le terrain de chasse favori. Liquidity pools falsifiés, audits truqués… même les whales se font avoir.
La régulation à la traîne – comme d'habitude. Les autorités financières jouent au Whac-A-Mole contre ces escrocs high-tech. Trop lent, trop tard. (Mais bon, ils ont au moins mis à jour leur PowerPoint sur les « risques crypto ».)
Protégez-vous : vérifiez les audits, méfiez-vous des promesses à 3 chiffres… et souvenez-vous que dans la finance, si c'est trop beau pour être vrai, c'est probablement une arnaque – ou un NFT monkey.
Les fausses entreprises utilisent des plateformes légitimes pour créer une présence crédible
Les acteurs de la menace créent de fausses sociétés de démarrage avec l'IA, le jeu, les thèmes logiciels de réunion vidéo. Les façades de la société de médias sociaux et de médias sociaux aident à cibler spécifiquement les utilisateurs de crypto-monnaie. Ces opérations utilisent des comptes X compromis généralement avec vérification pour contacter les victimes.
Les attaquants utilisent des plates-formes légitimes, notamment la notion, le milieu et le github pour la documentation. Les sites Web d'aspect professionnel comprennent des profils d'employés, des blogs de produits, des blancs et des feuilles de route de développement. Les comptes x semblent compromis avec des dénombrements de suiveurs plus élevés, ajoutant à l'apparition de la légitimité.
Les escrocs restent actifs sur les comptes de médias sociaux publiant des mises à jour de développement de logiciels. Le contenu du marketing de produit est partagé régulièrement pendant que les campagnes fonctionnent sur toutes les plateformes. Le jeu éternel de la blockchain de décomposition a créé de fausses photos de présentation de conférence pour la crédibilité.
Les attaquants ont même modifié les photos de l'exposition italienne les faisant apparaître comme des présentations de l'entreprise. Medium Hôte des articles de blog sur les faux logiciels et les développements d'entreprises. La notion contient des feuilles de route de produits détaillées et des informations complètes sur la liste des employés.
Les référentiels GitHub présentent des aspects de logiciels techniques à l'aide de projets open source volés. Les noms de code sont modifiés pour que les référentiels apparaissent uniques et originaux. Les informations d'enregistrement des entreprises de Companies House sont liées à des entreprises similaires.
Gitbook détaille les informations de l'entreprise et répertorie les faux partenariats d'investisseurs pour la crédibilité. Les images de gameplay volées de Zombie dans Game apparaissent comme un contenu de désintégration éternelle. Certaines fausses entreprises établissent des magasins de marchandises pour compléter les façades commerciales.
Ces éléments combinés créent des apparences convaincantes en démarrage en augmentant les taux de réussite des infections. Les victimes reçoivent des contacts par le biais de messages X, de télégramme ou de discorde des employés. Les faux travailleurs offrent des paiements de crypto-monnaie pour la participation aux tests de logiciels.
Des logiciels malveillants ciblant les utilisateurs de Windows et MacOS Crypto Wallet
Les versions Windows sont distribuées via des applications Electron qui exigent les codes d'enregistrement des employés usurpés. Les bacs sont téléchargés par les utilisateurs après la saisie des codes donnés via la messagerie sur les réseaux sociaux. Les écrans de vérification CloudFlare sont présentés avant l'exécution des logiciels malveillants sur les systèmes cibles.
Le malware rassemble des profils système dans le nom d'utilisateur, les détails du processeur, la RAM et les graphiques. Les adresses MAC et les uuides du système sont rassemblées en phases de reconnaissance préliminaires. Les mécanismes d'authentification basés sur les jetons utilisent des jetons dérivés des URL du lanceur d'applications.
Les certificats de signature de code volés augmentent la légitimité des logiciels et échappent à la détection de sécurité. Des entreprises comme Jiangyin Fengyuan ElectronIcs Co. et PaperbucketMDB APS ont été utilisées. Python est récupéré et stocké dans des répertoires temporaires pour l'exécution des commandes.
Les distributions MacOS sont publiées sous forme de fichiers DMG contenant des scripts et des binaires de bash. Les scripts utilisent des techniques d'obscurcissement comme le codage de base64 et le cryptage XOR. Applescript monte malware et exécute des exécutables à partir de répertoires temporaires AutomaticAlly.
Le malware macOS effectue des vérifications anti-analyse pour les environnements Qemu, VMware et Docker. Le voleur atomique cible les données du navigateur, les portefeuilles cryptographiques, les cookies et les fichiers de documents. Les données volées sont compressées et envoyées via des demandes de poste aux serveurs.
Des scripts de bash supplémentaires établissent la persistance par le biais de configurations d'agent de lancement à la connexion. Le malware enregistre une utilisation active de l'application et des informations de fenêtre en continu. Les horodatages de l'interaction utilisateur sont enregistrés et transmis aux serveurs de collecte périodiquement.
Les deux versions ciblent les données de portefeuille de crypto-monnaie spécifiquement pour les opérations de vol. Plusieurs fausses sociétés distribuent des logiciels malveillants et des logicielsdentavec différents images et thèmes.
Liste approfondie de fausses entreprises que jedentsur plusieurs plateformes
DarktracE a révélé plusieurs bidonses qui traversent cette campagne d'ingénierie sociale. Pollens AI imite les outils de création collaborative à l'aide de comptes X et d'autres sites Web. Buzzu utilise les mêmes logos et code que Pollens mais se déroule sous une image de marque différente.
Cloudsign aurait fourni des services de plate-forme de signature de documents aux consommateurs d'entreprise. Swox est un réseau social de nouvelle génération de l'espace Web3. Klastai est étroitement lié aux comptes et aux sites des pollens portant la même marque.
Wasper utilise les mêmes logos et code github que les pollens dans divers domaines. Lunelior fonctionne via divers sites Web desservant divers groupes d'utilisateurs en particulier. Beesync a précédemment fonctionné comme Buzzu Alias avant son changement de marque en janvier 2025.
Slax héberge les médias sociaux et les sites centrés sur l'IA sur plusieurs sites Web. Solune atteint les utilisateurs via l'activité de la plate-forme de médias sociaux et l'utilisation des applications de messagerie. Eternal Decay est une société de jeux de blockchain avec des présentations de conférences synthétiques.
Dexis est marqué de la même manière que SWOX et partageait la même base d'utilisateurs. Nexvoo a plusieurs domaines et gestion des plateformes de médias sociaux. NEXLOOP a renommé Nexoracore en renommant les référentiels GitHub.
Yondaai cible les utilisateurs de sites de médias sociaux et divers utilisateurs de domaines du site Web. Chaque entreprise a des fronts professionnels grâce à de véritables procédures d'intégration de plate-forme. Le Crazyevil Traffer Group exploite de telles campagnes depuis 2021.
Enregistré, Future approximation des millions de revenus de Crazyevil provenant d'activités malveillantes. Le groupe est censé être à l'origine des attaques contre les utilisateurs de crypto, les influenceurs et les professionnels DeFi . Les campagnes montrent des efforts approfondis pour faire des apparitions en affaires légitimes.
Cryptopolitan Academy: fatiguée des balançoires du marché? Découvrez comment DeFi peut vous aider à créer un revenu passif stable. Inscrivez-vous maintenant
