Un ex-cadre d’Animoca perd ses économies dans un piratage Zoom lié à Lazarus

Un ancien cadre d'Animoca a vu ses portefeuilles de crypto vidés après avoir téléchargé une fausse mise à jour de Zoom lors d'une attaque de phishing associée au groupe de piratage nord-coréen Lazarus.

Mehdi Farooq, partenaire d'investissement chez Hypersphere et ex-cadre d'Animoca Brands, a révélé dans un post sur X ce jeudi avoir perdu une grande partie de ses économies dans un piratage Zoom lié au groupe nord-coréen Lazarus.

L'arnaque a commencé lorsque Farooq a reçu un message Telegram d'Alex Lin, une connaissance professionnelle. Lin a proposé de prendre des nouvelles, et Farooq a partagé son lien Calendly pour planifier un appel.

Le lendemain, peu avant la réunion, Lin a de nouveau envoyé un message, demandant de passer à Zoom Business "pour des raisons de conformité", expliquant qu'un de ses investisseurs, Kent — que Farooq connaissait également — se joindrait à l'appel.

La réunion Zoom semblait légitime. Les deux participants avaient leurs caméras allumées, mais il n'y avait pas de son. Dans le chat Zoom, ils ont indiqué avoir des problèmes techniques et ont demandé à Farooq de mettre à jour son client Zoom. Quelques minutes après l'installation de la fausse mise à jour, six des portefeuilles crypto de Farooq ont été vidés.

Ce n'est qu'après coup que Farooq a réalisé que le compte de Lin avait été piraté. Le schéma a ensuite été relié à Lazarus, un groupe de piratage soutenu par l'État nord-coréen.

"C'était surréaliste et totalement violent. Mais dans le moment le plus sombre, des hackers whitehat sont venus à mon secours — des inconnus proposant leur aide alors que j'étais au plus bas. Il s'est avéré que j'avais été compromis par une menace affiliée à la Corée du Nord connue sous le nom de dangrouspassword", a écrit Farooq.

Cet incident rappelle une tentative récente de phishing visant Kenny Li, co-fondateur de Manta Network, qui a évité de justesse un sort similaire. Li a raconté que les attaquants se faisaient passer pour des contacts connus lors d'un appel Zoom, utilisaient de fausses vidéos et insistaient pour un téléchargement suspect d'une mise à jour Zoom. Soupçonnant une arnaque, Li a suggéré de changer de plateforme de communication, ce qui a poussé les attaquants à le bloquer et à effacer les messages.

Les analystes en sécurité affirment que ce vecteur d'attaque — où les pirates se font passer pour des contacts de confiance, simulent des problèmes techniques et poussent à installer des logiciels malveillants déguisés en mises à jour Zoom — est une signature des opérations de Lazarus et a été utilisé à plusieurs reprises pour voler des millions en crypto.

D'autres leaders de l'industrie crypto, dont des fondateurs de Mon Protocol, Stably et Devdock AI, ont signalé des tentatives de phishing similaires, soulignant à quel point ces attaques sont répandues et ciblées.

Nick Bax de la Security Alliance a détaillé cette arnaque dans un post sur X le 11 mars.

Des problèmes audio lors de votre appel Zoom ? Ce n'est pas un VC, ce sont des hackers nord-coréens. Heureusement, ce fondateur a compris ce qui se passait. L'appel commence avec quelques "VC" en ligne. Ils envoient des messages dans le chat disant qu'ils n'entendent pas votre audio, ou suggérant qu'il y a un… pic.twitter.com/ZnW8Mtof4F

Traduit par SteelRavenZ