Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / 100K RETURNED MALVERTISING

100 000 $ restitués : une arnaque crypto par malvertising démantelée

The Enablers Registry·Editorial mirror·/fr/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Enquête • 5 à 7 minutes de lecture

100 000 $ restitués — l'arnaque au malvertising déjouée

Des escrocs russes se sont fait passer pour un projet de cryptomonnaie en recourant à de la publicité malveillante et à un logiciel malveillant de vol de données. Nous avons détecté cette opération, rétabli l'accès aux portefeuilles et restitué plus de 100 000 dollars. Les fonds récupérés en surplus ont été reversés à @_SEAL_Org. Ci-dessous : détail de l'opération, IOC et enseignements tirés.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Publié à l'origine le Moyen — THE ENABLERS REGISTRY

Présentation générale

Un projet de cryptomonnaie a été victime d'une attaque d'ingénierie sociale déguisée en partenariat publicitaire légitime. THE ENABLERS REGISTRY a rétabli l'accès au portefeuille et a récupéré plus de 100 000 dollars dans des fonds compromis, puis a réorienté la récompense proposée vers une organisation externe afin de préserver son indépendance.

Ce qu'il faut savoir

  • Le portefeuille avait déjà été piraté ; les fonds avaient déjà été transférés.
  • L'accès a été rétabli et $100K+ a été empêché de rester avec l'agresseur.
  • Le projet proposait une récompense, qui a été refusée et réorientée vers @_SEAL_Org au lieu de cela.
  • Ce travail est réalisé de manière indépendante, dans le cadre d'une activité personnelle, et non dans le cadre d'un emploi rémunéré.

Comment fonctionnait cette arnaque

  • La victime a reçu une proposition de partenariat ou de publicité concernant un jeu basé sur la cryptomonnaie.
  • L'attaque semblait crédible : site web professionnel, présence bien établie sur X (Twitter), appels vidéo qui semblaient authentiques.
  • Au cours des appels, les pirates ont demandé l'installation d'un « logiciel de visualisation professionnel » pour accéder aux documents.
  • Le « spectateur » était logiciel malveillant de vol de données.
  • Les pirates ont retiré des fonds, échangé des jetons entre différentes chaînes et transféré des actifs vers leur propre portefeuille.

Mesures prises en réponse

  1. Compromission confirmée et poursuite du déplacement interrompue.
  2. L'accès au portefeuille a été rétabli pour son propriétaire légitime.
  3. Nous avons pris le contrôle du portefeuille de réception de l'attaquant et l'avons transféré à l'équipe de la victime.
  4. Mesures de suivi coordonnées visant à réduire le risque résiduel.
Résultat : Accès rétabli, contrôle repris, pirate bloqué.

Renforcement de la sécurité après un incident

Sécurité des appareils

  • Guide étape par étape pour manipuler les appareils infectés en toute sécurité
  • Isolement du réseau, révocation des sessions, rotation des identifiants et des clés, plan de reconstruction à zéro

Mise en place opérationnelle

  • Un nouveau poste de travail, en parfait état, dédié aux opérations liées aux portefeuilles
  • Système d'exploitation réinstallé, téléchargements réservés aux fournisseurs, portefeuille matériel, nombre minimal d'extensions, profil de navigateur distinct, authentification à deux facteurs (2FA)

Préparation aux examens médico-légaux

  • Consignes relatives aux instantanés de disque et à la collecte des journaux système et d'application
  • Conservation des éléments de preuve en vue d'une éventuelle enquête judiciaire

Comprendre le concept d'« « adverting » »

Publicité Il s'agit d'une forme d'ingénierie sociale de type professionnel, dans laquelle les cybercriminels imitent des processus de travail courants (achats publicitaires, partenariats, relations publiques) pour inciter les victimes à installer des « clients » malveillants.

Signes avant-coureurs courants :

  • « Installez notre gestionnaire/outil d'aide publicitaire pour synchroniser vos créations publicitaires »
  • « Utilisez notre client Zoom/[REDACTED] personnalisé pour l'appel »
  • « Consultez notre dossier de presse/accord de confidentialité via une visionneuse sécurisée »
Règle fondamentale : Si un flux de travail provenant de sources inconnues nécessite un client, un visualiseur ou un programme de mise à jour spécifique, partez du principe qu'il s'agit d'une menace. N'utilisez que les téléchargements officiels proposés par les éditeurs.

La récompense et l'indépendance

  • Le projet a donné lieu à une récompense, car le montant récupéré a dépassé celui de la perte initiale.
  • THE ENABLERS REGISTRY a refusé de conserver la récompense.
  • L'intégralité de l'excédent a été affectée à @_SEAL_Org.
  • Cela permet de préserver l'indépendance : aucune source de financement ni aucune obligation.

Principes fondamentaux

  • L'indépendance avant tout — sans budget ni condition.
  • Une approche axée sur les résultats plutôt que sur la discussion.
  • Opposition à tout « client spécial » ou logiciel non vérifié.
  • Une divulgation sélective qui aide les victimes, et non les auteurs des menaces.
  • Pression directe sur l'infrastructure des attaquants.

Recommandations pratiques

Pour les projets et les équipes

  • N'installez jamais de logiciels de visualisation, de clients ou de mise à jour provenant de tiers non vérifiés.
  • Téléchargez Zoom et [REDACTED] uniquement depuis les sites officiels des éditeurs.
  • Évitez les liens sponsorisés concernant les portefeuilles, les ponts et les airdrops.
  • Privilégiez les portefeuilles matériels permettant le stockage hors ligne de la phrase de récupération.
  • En cas de compromission : révoquez les sessions, transférez les fonds, effectuez une rotation des clés, réémettez les secrets et demandez immédiatement de l'aide.

Pour la Communauté

Conclusion

Bien que des fonds aient déjà été transférés, THE ENABLERS REGISTRY accès rétabli et a veillé à ce que l'attaquant ne puisse pas conserver les actifs volés. En refusant la récompense et en réaffectant les fonds excédentaires à d'autres fins, l'organisation préserve son modèle opérationnel indépendant et bénévole, axé sur une réponse rapide et efficace aux incidents.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Partager cette enquête

Enquêtes connexes

ENQUÊTE APPROFONDIE
Anatomie du hameçonnage cryptographique : analyse technique de 8 véritables programmes de vol de phrases de départ
ENQUÊTE
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
ENQUÊTE
Les escrocs démasqués : analyse de 4 infrastructures d'escroquerie

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings