Founders

Comment de faux VCs infectent des fondateurs avec des malware

La levée de fonds devient un prétexte pour installer un malware et accéder à des données sensibles, emails et outils internes.

Les arnaques de “fake VC” ne se limitent plus à voler des decks. Certains groupes utilisent désormais la levée de fonds comme prétexte pour installer un malware sur la machine du fondateur.

Le scénario classique : le LP en Chine qui n’a pas Google

Tout commence souvent très bien : call Google Meet/Zoom, discours crédible, questions pertinentes. Le “fonds” annonce être intéressé et programme un nouveau call “avec les partners”.

Un de nos investisseurs est basé en Chine et n’a pas accès à Google. On utilise une autre solution interne pour les calls, voici le lien.

Le lien pointe vers un domaine qui ressemble à un service connu mais qui n’est pas le bon.

La page explique qu’il faut installer un petit client ou une extension. En réalité, tu installes un RAT/stealer/keylogger qui peut :

scanner ton disque pour trouver seed phrases, fichiers de wallets ou captures d’écran
voler tes cookies de session (Gmail, Slack, Notion, GitHub…)
ouvrir un accès à distance à ta machine

Variante : le faux email de vérification

Autre technique : l’email “Verify” qui ressemble à Google/DocuSign, mais dont l’expéditeur réel est un domaine obscur. Le bouton renvoie vers une page qui injecte du code malveillant ou vole tes identifiants.

Comment te protéger en pratique

ne télécharge jamais de logiciel/extension depuis un lien envoyé par un “investisseur” — tape l’URL officielle toi‑même
vérifie systématiquement l’adresse email et le domaine complet (le nom affiché ne suffit pas)
garde une machine ou au moins une session séparée pour ce type de calls, sans wallets ni accès admin

Le scénario classique : le LP en Chine qui n’a pas Google

Tout commence souvent très bien : call Google Meet/Zoom, discours crédible, questions pertinentes. Le “fonds” annonce être intéressé et programme un nouveau call “avec les partners”.

Un de nos investisseurs est basé en Chine et n’a pas accès à Google. On utilise une autre solution interne pour les calls, voici le lien.

Le lien pointe vers un domaine qui ressemble à un service connu mais qui n’est pas le bon.

La page explique qu’il faut installer un petit client ou une extension. En réalité, tu installes un RAT/stealer/keylogger qui peut :

scanner ton disque pour trouver seed phrases, fichiers de wallets ou captures d’écran
voler tes cookies de session (Gmail, Slack, Notion, GitHub…)
ouvrir un accès à distance à ta machine

Comment te protéger en pratique

ne télécharge jamais de logiciel/extension depuis un lien envoyé par un “investisseur” — tape l’URL officielle toi‑même
vérifie systématiquement l’adresse email et le domaine complet (le nom affiché ne suffit pas)
garde une machine ou au moins une session séparée pour ce type de calls, sans wallets ni accès admin