Les cybercriminels exploitent une fonctionnalité de X pour lancer une escroquerie crypto sophistiquée.

Des analystes en cybersécurité ont découvert une nouvelle escroquerie dangereuse exploitant le système d'affichage des URL publicitaires de X (anciennement Twitter) pour induire en erreur les utilisateurs afin qu'ils tombent dans des promotions de cryptomonnaies frauduleuses.

Des chercheurs de Silent Push ont révélé que des attaquants manipulaient la fonctionnalité d'aperçu des URL publicitaires de X pour afficher des domaines de confiance – comme CNN.com – même si le lien réel redirigeait les victimes vers des sites d'escroquerie impersonifiant Apple et promouvant une fausse prévente de cryptomonnaie "Apple iToken".

Ce schéma abuse de la façon dont X génère ses cartes d'aperçu de lien. Lorsqu'une URL est publiée dans une annonce, le bot de X récupère les métadonnées en utilisant une chaîne d'agent utilisateur statique. Les attaquants configurent leurs serveurs web pour reconnaître cet agent utilisateur et redirigent le bot vers un site légitime (comme cnn[.]com), créant ainsi un aperçu propre. Mais lorsque des utilisateurs ordinaires cliquent, ils sont silencieusement redirigés vers des domaines d'escroquerie comme ipresale[.]world.

Dans certains cas, les attaquants utilisent des services de raccourcissement de lien comme bit[.]ly, qui pointent initialement vers un site réputé pour la génération d'aperçus, puis basculent vers des pages malveillantes une fois l'annonce en ligne.

Ces liens de phishing passent souvent par plusieurs redirections (y compris t[.]co) avant d'atterrir sur des sites d'escroquerie professionnellement conçus. Les victimes se voient montrer de fausses recommandations du PDG d'Apple Tim Cook et sont encouragées à déposer des fonds dans l'un des 22 portefeuilles de cryptomonnaie sur les réseaux Bitcoin, Ethereum et Solana.

Une enquête plus approfondie a révélé près de 90 domaines associés actifs depuis 2024. Les attaquants utilisaient une infrastructure cohérente – fichiers partagés, icônes, adresses IP (par exemple, 51.15.17[.]214) et serveurs de noms (ns1.chsw.host) – pour faire fonctionner le réseau d'escroquerie.

La deuxième vague de la campagne a été lancée via de nouvelles annonces X le 5 mai 2025, redirigeant les utilisateurs via chopinkos[.]digital vers itokensale[.]live, présentant un contenu d'escroquerie presque identique et un abus de branding d'Apple.

Certains domaines associés étaient même liés à des régions .ru suspectes, bien que l'attribution définitive à un groupe spécifique reste non confirmée.

cet incident met en lumière la sophistication de la fraude publicitaire moderne sur les réseaux sociaux et les risques auxquels sont confrontées les plateformes qui s'appuient sur la redirection côté client sans vérification robuste des URL. Silent Push recommande des améliorations urgentes aux systèmes de révision des annonces et de métadonnées de X, ainsi qu'une vigilance accrue des utilisateurs.

Alors que les escroqueries publicitaires deviennent de plus en plus trompeuses, les utilisateurs ne devraient pas seulement réfléchir à deux fois avant de cliquer, mais aussi nettoyer régulièrement le contenu passé. Des outils comme TweetDeleter vous permettent de supprimer d'anciens tweets et de gérer votre historique sur les réseaux sociaux – une étape essentielle pour rester en sécurité en ligne.

Source : gbhackers.com