100 000 $ restitués — l'arnaque au malvertising déjouée
Des escrocs russes se sont fait passer pour un projet de cryptomonnaie en recourant à de la publicité malveillante et à un logiciel malveillant de vol de données. Nous avons détecté cette opération, rétabli l'accès aux portefeuilles et restitué plus de 100 000 dollars. Les fonds récupérés en surplus ont été reversés à @_SEAL_Org. Ci-dessous : détail de l'opération, IOC et enseignements tirés.
Présentation générale
Un projet de cryptomonnaie a été victime d'une attaque d'ingénierie sociale déguisée en partenariat publicitaire légitime. THE ENABLERS REGISTRY a rétabli l'accès au portefeuille et a récupéré plus de 100 000 dollars dans des fonds compromis, puis a réorienté la récompense proposée vers une organisation externe afin de préserver son indépendance.
Ce qu'il faut savoir
- Le portefeuille avait déjà été piraté ; les fonds avaient déjà été transférés.
- L'accès a été rétabli et $100K+ a été empêché de rester avec l'agresseur.
- Le projet proposait une récompense, qui a été refusée et réorientée vers @_SEAL_Org au lieu de cela.
- Ce travail est réalisé de manière indépendante, dans le cadre d'une activité personnelle, et non dans le cadre d'un emploi rémunéré.
Comment fonctionnait cette arnaque
- La victime a reçu une proposition de partenariat ou de publicité concernant un jeu basé sur la cryptomonnaie.
- L'attaque semblait crédible : site web professionnel, présence bien établie sur X (Twitter), appels vidéo qui semblaient authentiques.
- Au cours des appels, les pirates ont demandé l'installation d'un « logiciel de visualisation professionnel » pour accéder aux documents.
- Le « spectateur » était logiciel malveillant de vol de données.
- Les pirates ont retiré des fonds, échangé des jetons entre différentes chaînes et transféré des actifs vers leur propre portefeuille.
Mesures prises en réponse
- Compromission confirmée et poursuite du déplacement interrompue.
- L'accès au portefeuille a été rétabli pour son propriétaire légitime.
- Nous avons pris le contrôle du portefeuille de réception de l'attaquant et l'avons transféré à l'équipe de la victime.
- Mesures de suivi coordonnées visant à réduire le risque résiduel.
Renforcement de la sécurité après un incident
Sécurité des appareils
- Guide étape par étape pour manipuler les appareils infectés en toute sécurité
- Isolement du réseau, révocation des sessions, rotation des identifiants et des clés, plan de reconstruction à zéro
Mise en place opérationnelle
- Un nouveau poste de travail, en parfait état, dédié aux opérations liées aux portefeuilles
- Système d'exploitation réinstallé, téléchargements réservés aux fournisseurs, portefeuille matériel, nombre minimal d'extensions, profil de navigateur distinct, authentification à deux facteurs (2FA)
Préparation aux examens médico-légaux
- Consignes relatives aux instantanés de disque et à la collecte des journaux système et d'application
- Conservation des éléments de preuve en vue d'une éventuelle enquête judiciaire
Comprendre le concept d'« « adverting » »
Publicité Il s'agit d'une forme d'ingénierie sociale de type professionnel, dans laquelle les cybercriminels imitent des processus de travail courants (achats publicitaires, partenariats, relations publiques) pour inciter les victimes à installer des « clients » malveillants.
Signes avant-coureurs courants :
- « Installez notre gestionnaire/outil d'aide publicitaire pour synchroniser vos créations publicitaires »
- « Utilisez notre client Zoom/[REDACTED] personnalisé pour l'appel »
- « Consultez notre dossier de presse/accord de confidentialité via une visionneuse sécurisée »
La récompense et l'indépendance
- Le projet a donné lieu à une récompense, car le montant récupéré a dépassé celui de la perte initiale.
- THE ENABLERS REGISTRY a refusé de conserver la récompense.
- L'intégralité de l'excédent a été affectée à @_SEAL_Org.
- Cela permet de préserver l'indépendance : aucune source de financement ni aucune obligation.
Principes fondamentaux
- L'indépendance avant tout — sans budget ni condition.
- Une approche axée sur les résultats plutôt que sur la discussion.
- Opposition à tout « client spécial » ou logiciel non vérifié.
- Une divulgation sélective qui aide les victimes, et non les auteurs des menaces.
- Pression directe sur l'infrastructure des attaquants.
Recommandations pratiques
Pour les projets et les équipes
- N'installez jamais de logiciels de visualisation, de clients ou de mise à jour provenant de tiers non vérifiés.
- Téléchargez Zoom et [REDACTED] uniquement depuis les sites officiels des éditeurs.
- Évitez les liens sponsorisés concernant les portefeuilles, les ponts et les airdrops.
- Privilégiez les portefeuilles matériels permettant le stockage hors ligne de la phrase de récupération.
- En cas de compromission : révoquez les sessions, transférez les fonds, effectuez une rotation des clés, réémettez les secrets et demandez immédiatement de l'aide.
Pour la Communauté
- Signalez toute activité suspecte via notre bot [REDACTED].
- Accédez à des conseils et à des ressources essentiels sur les mesures à prendre à l'adresse suivante : enablers.report/action-urgente.
Conclusion
Bien que des fonds aient déjà été transférés, THE ENABLERS REGISTRY accès rétabli et a veillé à ce que l'attaquant ne puisse pas conserver les actifs volés. En refusant la récompense et en réaffectant les fonds excédentaires à d'autres fins, l'organisation préserve son modèle opérationnel indépendant et bénévole, axé sur une réponse rapide et efficace aux incidents.
