Thu. Nov 21st, 2024

Par OWN-CERT

Une campagne d’usurpation vise des grands sites de presse. Cette menace persistante qui sévit sur les réseaux sociaux mérite une attention particulière. Il s’agit d’une arnaque liée à la cryptomonnaie, actuellement active et associée à un acteur non identifié depuis février 2024.

Cette campagne malveillante utilise l’identité de sites de médias généralistes pour se propager massivement sur les plateformes X et Medium. Elle exploite également l’image de célébrités en utilisant des titres accrocheurs pour attirer l’attention des utilisateurs.

Dans le contexte de l’imminence des Jeux olympiques et paralympiques de Paris, il est essentiel de rester vigilant face à ces modes opératoires, car leur infrastructure pourrait être réutilisée à des fins de manipulation de l’information.

Le cluster identifié par les chercheurs en cybersécurité de OWN, est surveillé car il pourrait véhiculer d’autres narratifs à des fins de manipulation de l’information.

Synthése

  • Une arnaque à la cryptomonnaie, liée à un acteur non identifié, est active depuis (au
    moins) février 2024.
  • Cette campagne, usurpant l’identité de sites de presses grand public est massivement
    déployée sur X et Medium.
  • Elle exploite l’image de célébrités grâce à des titres accrocheurs.
  • Dans le contexte de l’imminence des Jeux olympiques et paralympiques de Paris, OWN
    recommande de rester vigilant quant à ces modes opératoires, puisque leur
    infrastructure peut être aisément réutilisée à des fins de manipulation de l’information.

Depuis février 2024, une arnaque à la cryptomonnaie persiste massivement sur Twitter. En
exploitant l’image de célébrités (Francis Cabrel, Robert Badinter, Redouane Bougheraba…)
ainsi que l’aura de grands sites de presse (Le Monde, Libération, France Info), cette campagne
incite à cliquer sur les liens qui redirigent vers des sites à l’identité usurpée. En fonction de
l’adresse IP ou de la configuration du navigateur de l’internaute, celui-ci est dirigé vers la page
frauduleuse ou vers une page légitime du site dont l’identité a été usurpée. Dans le cadre de
cette arnaque, le filtrage se fait sur une IP géolocalisée présumée française.

Les comptes X (Twitter) qui publient ces contenus présentent des caractéristiques
d’inauthenticité : ce sont presque toujours des comptes certifiés Blue Check, qui ont en
général très peu de followers ou de following (ce qui n’a pas d’incidence puisque, relayant du
contenu publicitaire, ceux-ci se retrouvent sur les fils Twitter de tous les utilisateurs). Malgré
des dates de création de compte anciennes (décembre 2009 par exemple), ces comptes ont
publié peu de contenu. De plus, la langue du tweet publicitaire peut ne pas correspondre à la
langue des autres tweets publiés. On note également l’absence de bannière de profil, etc.

Mode opératoire


Les faux articles, par leur titre accrocheur, incitent à cliquer sur les liens proposés. Les
plateformes de cryptomonnaie diffusées par ce mode opératoire (Profit Rex, NeuPro X1,
Quantum Gforce AI ou bien encore Everix-edge, ou Immediate Connect) sont en réalités très
nombreuses (voir tableau en annexe). Medium est utilisé par l’acteur malveillant pour
expliquer le concept des outils de cryptomonnaie et inciter les internautes à investir de
l’argent. Il est également exploité pour la crédibilité dont il bénéficie dans le domaine cyber.
Du point de vue du mode opératoire, même si ces articles citent différents noms de
plateformes de cryptomonnaie, leur présentations (titrage, texte, images d’illustrations, etc.)
sont identiques ou fortement similaires. D’ailleurs, une recherche d’image inversée dans
Google permet de faire remonter de nombreux posts Medium, révélant la persistance de cette
campagne ainsi que son étendue.

Commentaire de l’analyste


Malgré ses incohérences, la qualité très aléatoire des articles et le débunkage régulier de cette
campagne dans les médias grand public, cette arnaque semble toucher beaucoup de monde,
notamment du fait de son caractère cross-plateforme (Youtube1, X/Twitter, Medium et,
semble-t ’il, Facebook et TikTok) et de sa persistance.
Si l’impact d’une campagne d’arnaque aux cryptomonnaies peut sembler faible, il est
indispensable de souligner la criticité que revêt l’action d’usurper de grands médias et sites de
presse, qui distingue ce mode opératoire des campagnes plus classiques d’arnaques aux
cryptomonnaies qui sont légion sur le réseau social X/Twitter. Ces actions d’usurpation ont un
impact fort quant à l’image de ces acteurs du monde de la presse en ligne.
Dans le contexte de l’imminence des Jeux olympiques et paralympiques de Paris, OWN
recommande de rester vigilant quant à ces modes opératoires, puisque leur infrastructure
(comptes, narratifs, URLs, TTPs…) peut être aisément réutilisée à des fins de :

  • manipulation de l’information (diffusion de narratifs pendant les JOP),
  • de hameçonnage ou livraison de charges malveillante (compromission, distribution de
    malware).

Actions engagées


OWN reste dans une posture de vigilance quant à l’étendue et les secteurs impactés par ce
mode opératoire. OWN assure la surveillance du cluster de comptes et de domaines identifiés, et s’investit dans la détection et l’analyse d’infrastructure de manipulation de l’information,
particulièrement en amont des JOP.

A propos de OWN-CERT

Le OWN-CERT, c’est 28 analystes spécialistes de la réponse à incident, l’analyse forensique, la détection des menaces, la lutte contre la cybercriminalité, l’analyse géopolitique et le suivi des infrastructures des modes opératoires adverses.
Les offres: Réponse à Incident · SOC · Cyber Threat Intelligence · Purple Team · Tests d’intrusion · Audit et Conformité

Leave a Reply

Your email address will not be published. Required fields are marked *