Les chercheurs en cybersécurité attirent l’attention sur un nouveau type d’escroquerie à l’investissement qui exploite une combinaison de publicité malveillante sur les réseaux sociaux, de publications de marque d’entreprise et de témoignages vidéo alimentés par l’intelligence artificielle (IA) mettant en vedette des personnalités célèbres, conduisant finalement à une perte financière et de données.
“L’objectif principal des fraudeurs est de diriger les victimes vers des sites Web et des formulaires de phishing qui récoltent leurs informations personnelles”, ESET noté dans son rapport sur les menaces du deuxième semestre 2024 partagé avec The Hacker News.
La société slovaque de cybersécurité traque la menace sous le nom Nomaniun jeu de mots sur l’expression “pas d’argent”. L’arnaque a augmenté de plus de 335 % entre le premier et le deuxième semestre 2024, avec plus de 100 nouvelles URL détectées quotidiennement en moyenne entre mai et novembre 2024.
Les attaques se déroulent au moyen de publicités frauduleuses sur les plateformes de médias sociaux, ciblant dans plusieurs cas des personnes qui ont déjà été arnaquées en utilisant des leurres liés à Europol et INTERPOL pour les contacter pour obtenir de l’aide ou pour obtenir le remboursement de l’argent volé en cliquant sur un lien.
Ces publicités sont publiées à partir d’un mélange de profils légitimes faux et volés associés à des petites entreprises, des entités gouvernementales et des micro-influenceurs comptant des dizaines de milliers de followers. D’autres canaux de distribution incluent le partage de ces publications sur Messenger et Threads, ainsi que le partage d’avis faussement positifs sur Google.
« Un autre grand groupe de comptes diffusant fréquemment des publicités Nomani sont les profils nouvellement créés avec des noms faciles à oublier, une poignée d’abonnés et très peu de publications », a souligné ESET.
Il a été constaté que les sites Web vers lesquels renvoient ces liens demandent leurs coordonnées et imitent visuellement les médias d’information locaux ; abuser des logos et de l’image de marque d’organisations spécifiques ; ou prétendre promouvoir des solutions de gestion de crypto-monnaie avec des noms en constante évolution tels que Quantum Bumex, Immediate Mator ou Bitcoin Trader.
À l’étape suivante, les cybercriminels utilisent les données collectées dans les domaines de phishing pour appeler directement les victimes et les manipuler afin qu’elles investissent leur argent dans des produits d’investissement inexistants qui affichent faussement des gains phénoménaux. Dans certains cas, les victimes sont amenées à contracter des emprunts ou à installer des applications d’accès à distance sur leurs appareils.
“Lorsque ces “investisseurs” victimes demandent le paiement des bénéfices promis, les escrocs les obligent à payer des frais supplémentaires et à fournir d’autres informations personnelles telles que des informations d’identité et de carte de crédit”, a déclaré ESET. “En fin de compte, les fraudeurs prennent à la fois l’argent et les données et disparaissent – à la manière d’une arnaque typique de la boucherie de porcs.”
Il existe des preuves suggérant que Nomani est l’œuvre d’acteurs menaçants russophones, étant donné la présence de commentaires sur le code source en cyrillique et l’utilisation des outils Yandex pour le suivi des visiteurs.
Semblable aux opérations d’escroquerie majeures comme Telekopye, on soupçonne qu’il existe différents groupes chargés de gérer chaque aspect de la chaîne d’attaque : vol, création et abus de comptes et de publicités Meta, construction de l’infrastructure de phishing et gestion du centres d’appels.
“En utilisant des techniques d’ingénierie sociale et en instaurant la confiance avec les victimes, les fraudeurs déjouent souvent même les mécanismes d’autorisation et les appels téléphoniques de vérification que les banques utilisent pour prévenir la fraude”, a déclaré ESET.
Cette évolution intervient alors que les autorités sud-coréennes chargées de l’application des lois ont annoncé avoir démantelé un réseau frauduleux à grande échelle qui avait escroqué près de 6,3 millions de dollars auprès de victimes grâce à de fausses plateformes de trading en ligne, dans le cadre d’une opération appelée MIDAS. Plus de 20 serveurs utilisés par le réseau frauduleux ont été saisis et 32 personnes impliquées dans ce stratagème ont été arrêtées.
En plus d’attirer les victimes par SMS et appels téléphoniques, les utilisateurs des programmes illicites du système de trading à domicile (HTS) ont été incités à investir leurs fonds en regardant des vidéos YouTube et en rejoignant les forums de discussion KakaoTalk.
“Le programme communique avec les serveurs de véritables sociétés de courtage pour obtenir des informations sur le cours des actions en temps réel et utilise des bibliothèques de graphiques accessibles au public pour créer des représentations visuelles”, a déclaré l’Institut de sécurité financière (K-FSI). dit dans une présentation donnée lors de la conférence Black Hat Europe la semaine dernière.
“Cependant, aucune transaction boursière réelle n’est effectuée. Au contraire, la fonctionnalité principale du programme, une fonction de capture d’écran, est utilisée pour espionner les écrans des utilisateurs, collecter des informations non autorisées et refuser de restituer de l’argent.”