Une nouvelle vague d’escroqueries cible les détenteurs de cryptomonnaies. Pour piéger les investisseurs, les cybercriminels s’appuient sur une fonction de Zoom, le service de visioconférence qui a cartonné au cours de la pandémie. Comme l’ont découvert les chercheurs de Trail of Bits, les pirates exploitent la fonction de contrôle à distance du service, qui permet de prendre la main sur l’ordinateur d’un autre participant pendant une réunion Zoom.
À lire aussi : Méfiez-vous de ces fausses versions de Google Meet, Zoom et Skype qui cachent des logiciels malveillants
Un appel Zoom qui tourne très mal
Tout commence avec l’envoi d’une fausse invitation à une interview Bloomberg Crypto, soit par e-mail, soit par la messagerie de X. L’invitation semble provenir de journalistes spécialisés dans la cryptomonnaie ou des comptes officiels de Bloomberg. Pour berner les cibles, les pirates se servent de faux comptes et d’adresses mail factices.
Si la victime décide de participer à l’interview sur Zoom, le pirate va d’abord partager le contenu de l’écran de son ordinateur. L’escroc va rapidement envoyer une demande de contrôle à distance… en se faisant passer pour Zoom. En effet, l’attaquant change son nom sur Zoom en « Zoom ». De facto, la cible reçoit une demande indiquant que « Zoom demande le contrôle à distance de votre écran ». Il est facile de penser qu’il s’agit d’une demande automatique de l’application de visioconférence.
« Ce qui rend cette attaque particulièrement dangereuse, c’est que la fenêtre d’autorisation ressemble fortement aux notifications habituelles de Zoom. Les utilisateurs, habitués à cliquer machinalement sur “Approuver”, risquent ainsi de donner un accès complet à leur ordinateur sans mesurer les conséquences », explique Trail of Bits.
Une fois que la cible accepte la demande, le pirate est en mesure de voler des données sensibles, comme des clés privées liés à des portefeuilles crypto. Il peut aussi transférer directement des actifs numériques en se servant de l’ordinateur de la victime sur son propre wallet. Par ailleurs, le hacker peut implanter un logiciel malveillant quelconque.
Un nouveau gang à l’assaut de la crypto
Les chercheurs ont trouvé des similitudes entre ce type d’attaque et le piratage de Bybit, qui a abouti au vol de 1,5 milliard de dollars en cryptomonnaies. La cyberattaque, orchestrée par les pirates nord-coréens de Lazarus, reposait également sur la manipulation de « flux de travail légitimes ». En l’occurrence, les pirates ont manipulé les équipes de Bybit pour qu’elles valident une transaction qui modifiait le contrat intelligent d’un portefeuille froid, permettant à Lazarus de vider les cryptos. Néanmoins, l’arnaque à l’appel Zoom n’est pas l’œuvre des hackers de Lazarus. Un gang de pirates appelé Elusive Comet est à l’origine de l’offensive, souligne Trail of Bits. Il vient de faire son apparition en visant exclusivement les investisseurs crypto.
Les chercheurs recommandent aux personnes qui « gèrent des données particulièrement sensibles » ou réalisent « des transactions de cryptomonnaies » de désinstaller Zoom de leur ordinateur par mesure de sécurité. Notez que Jake Gallen, PDG de la plateforme NFT Emblem Vault, a perdu plus de 100 000 dollars en cryptos au cours d’une attaque sur Zoom.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Trail of Bits
