Les utilisateurs de cryptomonnaies sont de nouveau la cible de cyberattaques sophistiquées, impliquant des logiciels malveillants d’une dangerosité accrue, récemment identifiés sous le nom de Vortax. Cette campagne d’escroquerie, orchestée par un acteur de menace connu sous l’alias de markopolo, révèle une montée inquiétante des menaces de sécurité sur macOS et d’autres plateformes.
Une nouvelle fraude cible les utilisateurs de cryptocurrences
Markopolo utilise de faux logiciels de réunion nommés Vortax, accompagnés de 23 autres applications, pour déployer divers malwares, notamment Rhadamanthys, StealC, et Atomic macOS Stealer (AMOS), selon les analyses de Recorded Future’s Insikt Group. Cette série de menaces montre à quel point la cybersécurité peut devenir un enjeu majeur pour les utilisateurs de cryptodevises sur les plateformes numériques.
Techniques de phishing avancées pour cibler les utilisateurs
Les cybercriminels cherchent à légitimer le logiciel Vortax sur les réseaux sociaux et sur internet. Ils utilisent un blog sur Medium, supposément alimenté par des articles générés par IA, et un compte certifié sur X (anciennement Twitter) avec un checkmark doré pour attraper leurs victimes. L’installation de l’application infectée nécessite un identifiant unique, le RoomID, distribué par des réponses sur le compte Vortax, des messages directs ou via des canaux Discord et Telegram liés aux cryptomonnaies.
Liens dangereux et malwares : une campagne agile et adaptable
Lorsqu’un utilisateur entre le Room ID nécessaire sur le site web Vortax, il est redirigé vers un lien Dropbox ou un site web externe qui installe le logiciel frauduleux. De là, le malware voleur d’informations est déployé, compromettant ainsi la sécurité des données personnelles et financières de l’utilisateur.
Les autres menaces numériennes s’intensifient
Parallèlement à cette campagne, l’exploitation abusive des services de stockage cloud par des escrocs SMS demeure préoccupante, comme le révèle une étude récente d’Enea. Les fraudeurs utilisent Amazon S3, Google Cloud Storage, Backblaze B2, et IBM Cloud Object Storage pour héberger des sites web statiques qui dirigent vers des pages de phishing.
Des URLs sophistiquées pour déjouer les sécurités traditionnelles
Les URLs menant au stockage cloud sont diffusées par SMS, apparaissant comme légitimes et capable de contourner facilement les restrictions de pare-feu. Lorsqu’un utilisateur mobile clique sur ces liens, il est redirigé vers un site statique hébergé qui le redirige automatiquement vers des URLs de spam insérées ou générées dynamiquement, compromettant ainsi informations personnelles et financières.
La détection et le blocage de telles URL sont un défi
Étant donné que les noms de domaine principaux de ces URLs incluent des adresses comme celle de Google Cloud Storage, il est difficile de les identifier comme malveillants à travers des scans d’URL classiques. Les méthodes traditionnelles de détection doivent évoluer pour s’adapter à ces nouvelles stratégies des cybercriminels.
Nos services chez CyberCare, dédiés à la protection contre les cybermenaces et à l’amélioration de la sécurité des données, sont conçus pour être particulièrement efficaces dans la neutralisation de ces menaces nouvelles et évolutives, assurant ainsi une tranquillité d’esprit complète à tous nos clients.