Incidents associés
Les chercheurs en cybersécurité attirent l'attention sur un nouveau type d'escroquerie à l'investissement qui s'appuie sur une combinaison de publicité malveillante sur les réseaux sociaux, de publications de marque d'entreprise et de témoignages vidéo alimentés par l'intelligence artificielle (IA) mettant en scène des personnalités célèbres, ce qui conduit finalement à des pertes financières et de données.
« L'objectif principal des fraudeurs est de diriger les victimes vers des sites Web et des formulaires de phishing qui collectent leurs informations personnelles », a indiqué ESET [https://www.welivesecurity.com/en/eset-research/eset-threat-report-h2-2024/] dans son rapport sur les menaces du deuxième semestre 2024 partagé avec The Hacker News.
L'entreprise slovaque de cybersécurité traque la menace sous le nom de Nomani, un jeu de mots sur l'expression « no money ». L'escroquerie a augmenté de plus de 335 % entre le premier et le deuxième semestre 2024, avec plus de 100 nouvelles URL détectées quotidiennement en moyenne entre mai et novembre 2024.
Les attaques se déroulent par le biais de publicités frauduleuses sur les plateformes de médias sociaux, ciblant dans plusieurs cas des personnes qui ont déjà été escroquées en utilisant des leurres liés à Europol et INTERPOL pour les contacter afin d'obtenir de l'aide ou de se faire rembourser leur argent volé en cliquant sur un lien.
Ces publicités sont publiées à partir d'un mélange de faux profils légitimes et volés associés à des petites entreprises, des entités gouvernementales et des micro-influenceurs comptant des dizaines de milliers d'abonnés. D'autres canaux de distribution incluent le partage de ces publications sur Messenger et Threads, ainsi que le partage d'avis positifs trompeurs sur Google.
"Un autre grand groupe de comptes diffusant fréquemment des publicités Nomani sont des profils nouvellement créés avec des noms faciles à oublier, une poignée d'abonnés et très peu de publications", a souligné ESET.
Les sites Web vers lesquels ces liens redirigent demandent leurs coordonnées et imitent visuellement les médias d'information locaux, abusent des logos et de l'image de marque d'organisations spécifiques ou prétendent faire la publicité de solutions de gestion de cryptomonnaies sous des noms en constante évolution tels que Quantum Bumex, Immediate Mator ou Bitcoin Trader.
Lors de l'étape suivante, les cybercriminels utilisent les données recueillies à partir des domaines de phishing pour appeler directement les victimes et les manipuler afin qu'elles investissent leur argent dans des produits d'investissement inexistants qui affichent faussement des gains phénoménaux. Dans certains cas, les victimes sont dupées et incitent à contracter des prêts ou à installer des applications d'accès à distance sur leurs appareils.
« Lorsque ces « investisseurs » victimes demandent le versement des bénéfices promis, les escrocs les obligent à payer des frais supplémentaires et à fournir d'autres informations personnelles telles que des informations d'identité et de carte de crédit », a déclaré ESET. « En fin de compte, les fraudeurs prennent à la fois l'argent et les données et disparaissent, suivant l'arnaque typique de l'abattage de porcs (https://thehackernews.com/2024/11/microsoft-meta-and-doj-disrupt-global.html). »
Il existe des preuves sugg�érant que Nomani est l'œuvre d'acteurs malveillants russophones, étant donné la présence de commentaires de code source en cyrillique et l'utilisation des outils Yandex pour le suivi des visiteurs.
Semblables aux opérations d'escroquerie majeures telles que Telekopye, on soupçonne que différents groupes sont chargés de gérer chaque aspect de la chaîne d'attaque : vol, création et abus de comptes Meta et de publicités, construction de l'infrastructure de phishing et gestion des centres d'appels.
« En utilisant des techniques d'ingénierie sociale et en établissant un lien de confiance avec les victimes, les escrocs déjouent souvent même les mécanismes d'autorisation et les appels téléphoniques de vérification que les banques utilisent pour prévenir la fraude », a déclaré ESET.
Cette évolution intervient alors que les autorités sud-coréennes chargées de l'application de la loi ont déclaré avoir démantelé un réseau de fraude à grande échelle qui a escroqué près de 6,3 millions de dollars aux victimes avec de fausses plateformes de trading en ligne dans le cadre d'une opération appelée MIDAS. Plus de 20 serveurs utilisés par le réseau de fraude ont été saisis et 32 personnes impliquées dans le stratagème ont été arrêtées.
En plus d'attirer les victimes par SMS et appels téléphoniques, les utilisateurs des programmes illicites du système de trading à domicile (HTS) ont été incités à investir leurs fonds en regardant des vidéos YouTube et en rejoignant les salles de discussion KakaoTalk.
« Le programme communique avec les serveurs de véritables sociétés de courtage pour obtenir des informations sur le cours des actions en temps réel et utilise des bibliothèques de graphiques accessibles au public pour créer des représentations visuelles », a déclaré le Financial Security Institute (K-FSI) [https://www.blackhat.com/eu-24/briefings/schedule/index.html#operation-midas---tracking-fraudulent-financial-program-organizations-42444) dans une présentation donnée lors de la conférence Black Hat Europe la semaine dernière.
« Cependant, aucune transaction boursière n'est réellement effectuée. Au contraire, la fonction principale du programme, une fonction de capture d'écran, est utilisée pour espionner les écrans des utilisateurs, collecter des informations non autorisées et refuser de restituer l'argent. »