Une nouvelle campagne de cybercriminalité vise les utilisateurs de cryptomonnaies à travers des sites frauduleux créés sous l’apparence de jeunes start‑ups spécialisées en intelligence artificielle et en jeux vidéo. Cette opération bien organisée utilise des plateformes comme Telegram et Discord pour diffuser des logiciels malveillants sophistiqués, ciblant aussi bien Windows que macOS.
Des sociétés fictives pour inspirer confiance
Les attaquants conçoivent de faux sites d’entreprises technologiques avec une apparence professionnelle: Logos, pages GitHub, articles de blog, promesses d’investissement et même des feuilles de route détaillées. Parmi les noms utilisés, on retrouve Eternal Decay, NexoraCore, KlastAI, Dexis ou encore Cloudsign. Tous ces noms sont associés à de faux projets d’IA ou de gaming, souvent promus via des comptes X (anciennement Twitter) certifiés.
Leur objectif est clair: Piéger les passionnés de technologie, les investisseurs crypto et les professionnels IT en leur proposant de tester une application ou une plateforme contre rémunération en cryptomonnaie.
Un processus d’infection en plusieurs étapes
La campagne débute par un message sur Telegram, Discord ou X, provenant d’un compte piraté ou prétendument officiel. Le message invite la cible à tester un outil IA ou un jeu en version bêta. Un lien est fourni vers un site visuellement crédible, mais totalement frauduleux.
Les victimes téléchargent ensuite un fichier .msi (Windows) ou .dmg (macOS). Sous Windows, l’installateur simule une vérification Cloudflare, puis installe discrètement un malware de type stealer. Sous macOS, le fichier installe Atomic macOS Stealer (AMOS): Un logiciel malveillant conçu pour voler les identifiants, mots de passe, fichiers, cookies de navigateur et portefeuilles crypto.
Une campagne active depuis plusieurs mois
Selon les chercheurs de Darktrace, cette opération malveillante est en cours depuis mars 2024. Elle aurait d’abord pris la forme d’un faux outil de visioconférence appelé «Meeten», utilisé pour diffuser le malware Realst. La structure actuelle reste similaire: Une fausse entreprise technologique, un logiciel attractif et un code d’accès permettant de récupérer un programme malveillant.
Ce type d’attaque rappelle les campagnes précédemment attribuées à des groupes comme Crazy Evil, qui exploitent également des stealers tels que StealC ou Angel Drainer. Toutefois, aucune attribution formelle n’a été confirmée à ce jour.
Pourquoi cela vous concerne directement
Pensez-vous que cela ne vous concerne pas car vous n’utilisez pas de cryptomonnaies? Détrompez-vous: Ces campagnes ciblent tout utilisateur curieux de tester des applications novatrices, en particulier dans les domaines en vogue comme l’IA et les jeux Web3.
Les professionnels du numérique, les développeurs, les investisseurs, mais aussi les responsables de PME technologiques peuvent être pris pour cibles. Un simple clic peut suffire à compromettre un appareil, exfiltrer des données sensibles, ou permettre une intrusion plus large dans un réseau d’entreprise.
Conseils pour éviter les pièges
- Ne téléchargez jamais d’application via un lien reçu sur Telegram, Discord ou X
- Vérifiez systématiquement l’URL du site visité: Tapez-la manuellement au lieu de cliquer sur des liens directs
- Activez les protections antivirus et antimalware sur tous vos appareils, y compris sous macOS
- Formez vos équipes: Le social engineering ciblant les professionnels devient de plus en plus réaliste
- Consultez toujours plusieurs sources avant de tester un nouveau projet IA ou crypto
Une tendance alarmante dans la cybersécurité
Les cybercriminels ne se contentent plus de mails frauduleux mal rédigés. Ils bâtissent désormais des écosystèmes entiers autour de fausses entreprises: Sites bien conçus, réseaux sociaux actifs, jargon technique crédible. L’objectif: Convaincre des victimes de plus en plus vigilantes en exploitant leur curiosité ou leur intérêt professionnel.
Cette stratégie permet d’élargir le champ des cibles: Non seulement les passionnés de crypto, mais aussi les salariés, les développeurs, les journalistes tech et les influenceurs sont exposés.
Conclusion: Vigilance et méthode
Face à cette évolution des menaces, il devient indispensable d’adopter une posture de sécurité proactive. Vous devez vous méfier des projets trop beaux pour être vrais, même lorsqu’ils sont bien présentés. La confiance ne doit jamais être accordée sur la seule base de l’apparence ou d’un compte certifié.