L'illusion d'une entreprise légale
Les pirates ont créé trois fonds crypto fictifs : SolidBit Capital, MegaBit et Lumax Capital. Les sites web de ces organisations sont crédibles : ils présentent un historique de l’entreprise, un portefeuille d’investissements et une liste de gestionnaires. Les photos des visages des « employés » ont été générées par une intelligence artificielle.
Infection via ClickFix
Les attaquants basculent rapidement la conversation vers une messagerie instantanée et vous invitent à un appel vidéo. La victime reçoit un lien vers le service Calendly, qui redirige vers une copie conforme de Zoom, Google Meet ou d'un service similaire.
Une fenêtre de vérification Cloudflare s'affiche à l'écran vous demandant de cocher une case pour confirmer que vous n'êtes pas un robot. Il s'agit d'une technique de piratage de ClickFix.
Cliquer sur le bouton copie silencieusement le code malveillant dans le presse-papiers. Le site affiche une instruction animée avec un compte à rebours : l’utilisateur est invité à ouvrir le terminal, à coller le texte copié et à appuyer sur Entrée.
Le script détecte automatiquement le système d'exploitation :
- Sous Windows, un processus caché est lancé directement dans la RAM. Le virus ne sauvegarde aucun fichier sur le disque dur, ce qui lui permet de contourner les systèmes de protection ;
- Sous macOS, le script vérifie la présence de Python, charge silencieusement les bibliothèques requises et s'installe lui-même dans le système.
Liens avec des hackers nord-coréens
Les adresses de ces faux sites web sont enregistrées au nom d'Anatoly Bigdash, un individu originaire de Boston, aux États-Unis. Les experts doutent de l'authenticité de cette personne.
