Substitution discrète d'adresses Bitcoin, fuite chez le fabricant de jouets pour adultes et autres événements de cybersécurité - ForkLog : cryptomonnaies, IA, singularité, avenir

# Substitution discrète d’adresses Bitcoin, fuite chez un fabricant de jouets pour adultes et autres événements en cybersécurité

Nous avons rassemblé les actualités les plus importantes du monde de la cybersécurité de la semaine.

• Des hackers ont inventé un schéma de substitution discrète d’adresses Bitcoin.
• Un nouveau cheval de Troie pour Android a été déguisé en applications IPTV.
• Des utilisateurs de Trezor et Ledger ont reçu des courriers papier de phishing.
• Un chercheur a dénoncé de grandes entreprises qui espionnent les utilisateurs de Chrome via des extensions.

Des hackers ont inventé un schéma de substitution discrète d’adresses Bitcoin

Des malfaiteurs ont commencé à substituer discrètement des adresses Bitcoin sous prétexte d’une transaction avantageuse d’arbitrage de cryptomonnaies. La découverte a été faite par des spécialistes de BleepingComputer.

La campagne repose sur des promesses de profits énormes grâce à une prétendue « vulnérabilité d’arbitrage » trouvée sur la plateforme d’échange Swapzone. En réalité, les hackers lancent un code malveillant qui modifie le processus d’échange directement dans le navigateur de la victime.

Les attaques de type ClickFix ciblent généralement les systèmes d’exploitation : en trompant l’utilisateur, elles le font exécuter des commandes PowerShell pour « corriger des erreurs » de Windows, ce qui conduit à l’installation de stéalers ou de ransomwares. Dans ce cas, la cible est une session spécifique dans le navigateur.

Selon les médias, il s’agit de l’un des premiers cas documentés d’utilisation de la mécanique ClickFix pour manipuler des pages web dans le but de voler directement des cryptomonnaies.

Pour promouvoir leur campagne frauduleuse, les hackers laissent des commentaires sur divers posts sur Pastebin, un service populaire de stockage de texte (lignes de code).

Source : BleepingComputer. Ils font la publicité d’une « fuite de documentation sur le piratage », qui permettrait de gagner 13 000 dollars en deux jours, en joignant un lien vers la ressource. Le « guide » dans Google Docs décrit un schéma pour obtenir un montant gonflé lors d’échanges dans certains couples BTC.

Les observations de BleepingComputer montrent que le document est consulté en permanence par entre un et cinq personnes simultanément, ce qui confirme l’activité de la scheme.

Source : BleepingComputer. Dans le faux guide, il est conseillé à l’utilisateur de :

1. Aller sur le site Swapzone.
2. Copier le code JavaScript depuis une ressource externe.
3. Revenir à l’onglet Swapzone, taper javascript:, coller le code copié et appuyer sur Entrée.

Cette méthode utilise la fonction du navigateur javascript: URI, qui permet d’exécuter du code dans le contexte du site ouvert. L’analyse a montré que le script initial charge une seconde partie de code, très compliquée. Elle s’injecte dans la page Swapzone, en remplaçant les scripts légitimes Next.js responsables des transactions :

• substitution d’adresse. Le script malveillant contient une liste d’adresses Bitcoin des attaquants. Il en insère une à la place de l’adresse de dépôt réelle générée par la plateforme ;
• tromperie visuelle. Le code modifie les taux d’échange affichés et les montants à payer pour donner l’impression que « le schéma d’arbitrage » fonctionne réellement ;
• résultat. La victime voit l’interface habituelle du service légitime, mais envoie des fonds vers le portefeuille Bitcoin du hacker.

Un nouveau cheval de Troie pour Android déguisé en applications IPTV

Un nouveau logiciel malveillant pour Android se fait passer pour une application de visionnage IPTV afin de voler des identités numériques et accéder aux comptes bancaires des victimes. Selon ThreatFabric, spécialiste en cybersécurité.

Le virus Massiv utilise des superpositions de fenêtres et l’enregistrement des frappes pour collecter des données sensibles. Il peut également établir un contrôle à distance complet de l’appareil infecté.

Dans le cadre de la campagne, Massiv a attaqué une application officielle portugaise liée à Chave Móvel Digital — un système national d’authentification et de signature numérique. Les données stockées dans ces services peuvent être utilisées pour contourner les procédures de vérification d’identité (KYC), accéder aux comptes bancaires, ainsi qu’à d’autres services en ligne publics et privés.

Selon ThreatFabric, des cas ont été enregistrés où des comptes bancaires et autres services ont été ouverts au nom de la victime sans son consentement.

Massiv offre aux opérateurs deux modes de contrôle à distance :

• streaming de l’écran — utilise l’API Android MediaProjection pour transmettre en temps réel ce qui se passe à l’écran ;
• mode UI-tree — extraction de données structurées via Accessibility Service.

Source : ThreatFabric. Le second mode permet aux attaquants de voir le texte, les noms d’éléments d’interface et leurs coordonnées. Cela leur donne la possibilité de cliquer sur des boutons et de modifier des champs de texte au nom de l’utilisateur. Plus important encore, cette méthode permet de contourner la protection contre les captures d’écran, souvent intégrée dans les applications bancaires et financières.

Les chercheurs ont noté une tendance intéressante : au cours des huit derniers mois, l’utilisation d’applications IPTV comme « appât » pour infecter des appareils Android a fortement augmenté.

Source : ThreatFabric. Ces applications enfreignent souvent les droits d’auteur, c’est pourquoi elles ne sont pas disponibles sur Google Play. Les utilisateurs ont l’habitude de les télécharger sous forme de fichiers APK depuis des sources non officielles et de les installer manuellement.

Selon le rapport, la campagne cible principalement les résidents d’Espagne, du Portugal, de France et de Turquie.

Des courriers de phishing papier envoyés aux utilisateurs de Trezor et Ledger

Les utilisateurs de Trezor et Ledger ont reçu des courriers classiques envoyés par des malfaiteurs prétendant venir des fabricants de portefeuilles matériels de cryptomonnaies.

Selon Dmitry Smilyants, expert en cybersécurité, la lettre qu’il a reçue ressemblait à une notification officielle du service sécurité de Trezor.

Sur le papier à en-tête de la marque, il leur était demandé de suivre une procédure obligatoire : scanner un QR code et compléter la vérification sur un site dédié avant une date limite. En cas de non-respect, il leur était menacé de perte d’accès aux fonctionnalités du portefeuille.

Des commentaires sous le post ont révélé d’autres cas précoces de phishing prétendument émanant de représentants de Ledger. Les deux courriers donnaient une impression d’urgence, incitant les victimes à agir immédiatement.

au moins ils auraient pu améliorer leur page de phishing 😭😭

même des mots de seed en clair envoyés via l’API Telegram…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Who said what? (@g0njxa) 12 février 2026

Les QR codes dans les courriers menaient vers des sites malveillants imitant les pages officielles de configuration de Trezor et Ledger. À la dernière étape, on obligeait l’utilisateur à entrer sa phrase de récupération pour « confirmer la propriété du dispositif ».

Un chercheur a dénoncé de grandes entreprises qui espionnent les utilisateurs de Chrome via des extensions

Un chercheur sous le pseudonyme Q Continuum a découvert 287 extensions pour Chrome qui transmettent toutes les données de navigation à des sociétés tierces. Leur nombre total d’installations dépasse 37,4 millions.

Grâce à un système automatisé de tests, il a vérifié 32 000 plugins du Chrome Web Store. Au final, il a identifié plus de 30 entreprises qui collectent ces données.

L’analyste estime que les extensions proposant des outils pratiques et utiles demandent souvent un accès injustifié à l’historique du navigateur. Certaines chiffrent en plus les données, rendant leur détection plus difficile.

Selon lui, une partie de la collecte de données est explicitement mentionnée dans les politiques de confidentialité. Mais tous les utilisateurs n’y prêtent pas attention.

Le chercheur a dénoncé la collecte de données par Similarweb, Semrush, Alibaba Group, ByteDance et la filiale de Similarweb, Big Star Labs.

Ont été suspectés des modules de personnalisation de thèmes Stylish, des bloqueurs de publicité (Stands AdBlocker, Poper Blocker, CrxMouse), ainsi que l’extension officielle de Similarweb (SimilarWeb : Website Traffic & SEO Checker).

Source : GitHub de Q Continuum. Environ 20 millions d’installations sur 37,4 millions n’ont pas pu être reliées à des destinataires précis.

La politique de confidentialité de Similarweb mentionne la collecte de données. La société affirme anonymiser les informations côté client, mais précise aussi que « une partie de ces données peut inclure des informations personnelles et confidentielles selon les requêtes de recherche et le contenu consulté ».

Fuite de données clients d’un fabricant de jouets pour adultes très populaire

La société japonaise Tenga a envoyé des notifications à ses clients concernant une violation de sécurité des données. Selon TechCrunch.

Il est indiqué qu’« une personne non autorisée a accédé à l’email professionnel d’un de nos employés », ce qui a permis au hacker d’accéder au contenu des messages entrants. Il aurait ainsi pu voir et voler les noms des clients, leurs adresses email et l’historique des échanges, qui « pouvaient inclure des détails de commandes ou des demandes au support ».

Le hacker a aussi envoyé des spams à la liste de contacts de l’employé piraté, y compris des clients de la société.

Après la publication de la nouvelle, un représentant de Tenga a indiqué à TechCrunch que, selon l’expertise technique, la fuite concernait « environ 600 personnes » aux États-Unis.

Tenga est un fournisseur mondial de produits pour adultes. Étant donné la nature des produits, les détails des commandes et des demandes au support contiennent probablement des données personnelles que de nombreux clients préféreraient ne pas voir divulguées.

L’entreprise a pris plusieurs mesures de protection :

• réinitialisation des identifiants de l’employé piraté ;
• déploiement de l’authentification à plusieurs facteurs dans tous ses systèmes — une fonction de sécurité de base qui empêche l’accès aux comptes même avec un mot de passe volé.

Un représentant a refusé de préciser si l’authentification à deux facteurs était activée sur le compte email avant le piratage.

En Afrique, arrestation de 651 suspects lors d’une opération contre la cybercriminalité

Les forces de l’ordre de plusieurs pays africains ont arrêté 651 suspects et saisi plus de 4,3 millions de dollars lors d’une opération conjointe contre la fraude financière. Selon Interpol.

L’opération Red Card 2.0 a ciblé des groupes de cybercriminels impliqués dans des pertes financières supérieures à 45 millions de dollars. Les autorités de 16 pays ont saisi 2341 appareils et bloqué 1442 sites web, domaines et serveurs malveillants.

Principaux résultats par pays :

• Nigéria. La police a démantelé un réseau de fraude à l’investissement qui recrutait des jeunes pour des attaques de phishing, du vol de données personnelles et la mise en place de fausses schemes d’investissement. Plus de 1000 comptes frauduleux ont été supprimés sur les réseaux sociaux. Six membres du groupe ont été arrêtés, utilisant des identifiants volés pour pirater un grand fournisseur de télécommunications ;
• Kenya. 27 suspects ont été arrêtés dans le cadre d’une enquête sur des groupes qui utilisaient réseaux sociaux et messageries pour attirer des victimes dans de faux projets d’investissement ;
• Côte d’Ivoire. 58 personnes ont été arrêtées dans la lutte contre des applications mobiles de microcrédit, utilisant des commissions cachées et des méthodes illégales de recouvrement.

Sur ForkLog aussi :

• OpenAI a publié un benchmark pour évaluer la capacité des agents IA à pirater des contrats intelligents.
• Le « Vibe coding » via Claude Opus a permis de compromettre Moonwell, un projet DeFi.
• Figure a reconnu une fuite de données personnelles de ses clients.
• La police sud-coréenne a perdu 22 BTC d’un cold wallet.

Que lire ce week-end ?

Dans le roman « La fausse cécité », l’écrivain et biologiste canadien Peter Watts propose une hypothèse radicale : l’intelligence peut être efficace sans conscience. Près de 20 ans après la publication du livre, cette thèse correspond précisément à l’IA générative.

Dans un nouveau dossier, ForkLog a analysé les erreurs que nous commettons en humanisant les algorithmes.