Photo: Girts Ragelis / Shutterstock.com
À l’heure où de plus en plus de réunions numériques ont lieu via des plateformes de réunion en ligne telles que Zoom, les risques de cyberattaques augmentent également. De plus en plus, les pirates exploitent des conversations en ligne apparemment inoffensives pour accéder à des informations sensibles, notamment des portefeuilles de cryptomonnaie et des comptes personnels.
L’attaque récente d’un célèbre crypto-influenceur montre à quel point ces méthodes sont devenues sophistiquées et démontre l’importance de l’hygiène numérique pour toute personne active dans le monde des cryptomonnaies.
Zoom, passerelle numérique vers le portefeuille bitcoin
Le célèbre crypto-influenceur a partagé son histoire sur X et décrit comment une interview sur Zoom avec une personne populaire sur les médias sociaux a conduit à la fuite d’informations sensibles. Au cours de la conversation, alors que l’intervieweur avait lui-même éteint sa caméra, il lui a été demandé de partager l’écran. Peu après, les premiers signes d’un piratage sont apparus.
Au cours de la conversation, organisée par un compte vérifié comptant 26 000 adeptes et se présentant comme une société de cryptomining, un logiciel malveillant a été installé sur son ordinateur via la session Zoom. Ce logiciel, connu sous le nom de GOOPDATE, a donné aux attaquants un accès complet à son système et à ses mots de passe, y compris à ses portefeuilles bitcoin et ethereum.
Dans les 24 heures qui ont suivi l’incident, plusieurs comptes, dont un portefeuille matériel Ledger, un compte Gmail et un profil X, ont été pris d’assaut. Compte tenu de la valeur actuelle du bitcoin et de l’ethereum, ce sont au total plus de 125 000 dollars de cryptomonnaie qui ont disparu.
Qu’est-ce que Elusive Comet ?
Selon la société de cybersécurité The Security Alliance (SEAL), l’attaque est l’œuvre d’Elusive Comet, un groupe criminel opérant sous le couvert d’une soi-disant société d’investissement : Aureon Capital. Ce groupe utilise de faux profils convaincants et l’ingénierie sociale pour inciter les victimes à partager leurs écrans ou à installer des logiciels malveillants.
Selon la société de cybersécurité Trail of Bits, qui a également enquêté sur ces attaques, Elusive Comet utilise les mêmes techniques que le tristement célèbre groupe Lazarus, impliqué dans l’intrusion massive de 1,5 milliard de dollars de cryptomonnaies chez Bybit. L’histoire du piratage de Bybit a fait l’objet d’un article dans la rubrique « Wallet and Exchanges news » en février.
Trail of Bits a été mis au courant de cette méthode d’attaque après que son propre PDG a reçu un message par X provenant d’un faux compte. L’attaque a commencé par une invitation à une soi-disant interview « Bloomberg Crypto » via Zoom. Les attaquants se sont fait passer pour des journalistes ou des employés de Bloomberg.
Importance de l’hygiène numérique
Un élément notable dans ce cas est le paramètre par défaut de Zoom, qui permet aux participants à une conversation de demander automatiquement l’accès à votre système. Bien que cet accès soit toujours soumis à approbation, les pirates parviennent souvent à persuader les victimes par des astuces astucieuses. SEAL conseille à toute personne ayant été en contact avec Aureon Capital de contacter son équipe d’intervention.
La leçon est universelle : soyez extrêmement prudent lorsque vous partagez des écrans, en particulier lorsque vous avez des portefeuilles de cryptomonnaie ouverts ou des comptes sensibles connectés. Utilisez l’authentification à deux facteurs dans la mesure du possible, maintenez les logiciels à jour et envisagez des dispositifs distincts pour différentes fonctions, comme un portefeuille froid.
Trail of Bits conseille aux organisations de définir des profils PPPC (Privacy Preferences Policy Control) afin que des applications telles que Zoom ne puissent pas obtenir d’accès non désiré au système.
