Cado Security Labs a identifié un voleur d’informations nommé Realst, utilisant une application de réunion frauduleuse pour dérober des portefeuilles de crypto-monnaies et diffuser des malwares. Les cybercriminels exploitent l’IA pour créer des contenus trompeurs sur divers sites et réseaux sociaux, incitant les professionnels du web3 à télécharger l’application. Cette dernière collecte des données sensibles et peut intercepter des informations de navigation. Les utilisateurs sont conseillés de rester vigilants face aux opportunités d’affaires suspectes et de protéger leurs informations.
Cado Security Labs a récemment découvert un voleur d’informations, nommé Realst, qui exploite une application de réunion frauduleuse pour s’emparer des portefeuilles de crypto-monnaies et diffuser des logiciels malveillants. Les escrocs trompent les professionnels du secteur web3 en les incitant à installer une application, connue sous divers noms tels que Meeten, Meetio, Meeten.gg, Meeten.us, Meetone.gg, Cluesee.com et Cuesee — un nom qui change fréquemment.
Les Tactiques des Escrocs
Les acteurs malveillants utilisent l’intelligence artificielle (IA) pour créer et alimenter des blogs, des sites internet et des profils sur des réseaux sociaux comme X et Medium, afin de se présenter comme des entreprises crédibles. Cela leur permet de contacter leurs cibles et de les inciter à télécharger l’application malveillante.
Une fois installée, cette application malveillante s’attaque à des informations sensibles telles que les détails des cartes bancaires, les identifiants Telegram et des données de portefeuilles de crypto-monnaies — notamment Ledger, Trezor, Phantom et Binance, qu’elle transmet aux cybercriminels. De plus, elle peut intercepter des cookies de navigateur et des identifiants de remplissage automatique sur plusieurs navigateurs comme Google Chrome, Microsoft Edge, Opera, Brave, Arc, CocCoc et Vivaldi.
Un utilisateur a rapporté avoir été approché par une personne prétendant être un proche, qui lui a envoyé une présentation d’investissement. D’autres victimes ont mentionné avoir reçu des appels liés à des opportunités dans le web3, où on les a encouragés à installer le logiciel malveillant.
La recherche sur les menaces de Cado Security Labs, menée par Tara Gould, souligne que « l’usage de l’IA permet aux cybercriminels de produire rapidement du contenu de sites web crédibles, ajoutant ainsi une légitimité à leurs arnaques et rendant la détection des sites suspects plus complexe. »
Risques Associés aux Faux Sites Web
Les faux sites web incitent les victimes à télécharger des logiciels malveillants sous couvert de programmes légitimes. Ils intègrent également du JavaScript capable de dérober des portefeuilles de crypto-monnaies stockés dans les navigateurs, et ce, bien avant même l’installation de l’application malveillante. Paul Scott, ingénieur en solutions chez Cado Security, explique que « si un utilisateur a son portefeuille déverrouillé dans son navigateur et visite un site malveillant, le JavaScript sur ce site vérifie automatiquement la présence de portefeuilles déverrouillés et tentera de transférer des fonds vers un portefeuille contrôlé par l’attaquant. »
Cette campagne est active depuis au moins quatre mois et dispose de variantes pour macOS et Windows. Elle semble être une version améliorée du voleur d’informations Realst, initialement découvert en 2023 par le chercheur en sécurité iamdeadlyz.
Comment Protéger Vos Informations
Les chercheurs recommandent aux utilisateurs de faire preuve de prudence lorsqu’ils sont approchés pour des opportunités d’affaires, en particulier via Telegram. Même si le contact semble provenir d’une personne familière, il est crucial de vérifier l’authenticité du compte. Soyez vigilant en ouvrant des liens.
Ne jamais interagir avec des messages ou des liens envoyés par des inconnus. Si vous recevez un lien, contactez l’expéditeur pour confirmer son authenticité. Par exemple, si le contact vous écrit sur Telegram alors qu’il utilise habituellement Slack, n’hésitez pas à le joindre sur la plateforme habituelle.
Il est également essentiel d’utiliser un logiciel antivirus de confiance et de s’assurer qu’il est à jour. De plus, optez pour un navigateur sécurisé lorsque cela est possible.