Recherchen imtracenthüllen eine laufende Social-Engineering-Kampagne, die Krypto-Nutzer über gefälschte Startup-Unternehmen ins Visier nimmt. Betrüger geben sich mithilfe gefälschter Social-Media-Konten als KI-, Spiele- und Web3-Firmen aus.
Die Projektdokumentation wird auf seriösen Plattformen wie Notion und GitHub gehostet. Die Kampagne, die sich seit Dezember 2024 an Web3-Mitarbeiter weltweit richtet, wird kontinuierlich weiterentwickelt.
Gefälschte Firmen nutzen legitime Plattformen, um eine glaubwürdige Präsenz aufzubauen
Cyberkriminelle gründen gefälschte Startups mit Bezug zu KI, Gaming oder Videokonferenzsoftware. Sie geben sich als Web3- und Social-Media-Unternehmen aus, um gezielt Kryptowährungsnutzer anzusprechen. Diese Operationen nutzen kompromittierte Konten, die in der Regel verifiziert sind, um die Opfer zu kontaktieren.
Die Angreifer nutzen legitime Plattformen wie Notion, Medium und GitHub zur Dokumentation. Professionell wirkende Websites enthalten Mitarbeiterprofile, Produktblogs, Whitepaper und Entwicklungs-Roadmaps. X Konten scheinen kompromittiert zu sein; hohe Followerzahlen verstärken den Eindruck von Legitimität.
Die Betrüger sind weiterhin in sozialen Medien aktiv und veröffentlichen dort Updates zur Softwareentwicklung. Produktmarketing-Inhalte werden regelmäßig geteilt, und Kampagnen laufen plattformübergreifend. Das Blockchain-Spiel „Eternal Decay“ erstellte gefälschte Konferenzpräsentationsfotos, um Glaubwürdigkeit zu erzeugen.
Die Angreifer manipulierten sogar Fotos italienischer Ausstellungen, sodass sie wie Firmenpräsentationen aussahen. Medium hostet Blogbeiträge über gefälschte Softwareprodukte und Firmenentwicklungen. Notion enthält detaillierte Produkt-Roadmaps und umfassende Mitarbeiterlisten.
GitHub-Repositories präsentieren technische Softwareaspekte, die auf gestohlenen Open-Source-Projekten basieren. Die Codenamen werden geändert, um die Repositories einzigartig und originell erscheinen zu lassen. Unternehmensregisterinformationen aus dem britischen Handelsregister (Companies House) werden mit gleichnamigen Unternehmen verknüpft.
Gitbook veröffentlicht detaillierte Firmeninformationen und listet gefälschte Investorenpartnerschaften auf, um Glaubwürdigkeit vorzutäuschen. Aus dem Spiel werden als Inhalte von „Eternal Decay“ ausgegeben. Einige Scheinfirmen eröffnen Merchandise-Shops, um ihre Geschäftsfassade zu vervollständigen.
Diese Kombination erzeugt ein überzeugendes Bild eines Start-up-Unternehmens und erhöht so die Erfolgsrate der Infektion. Die Opfer werden über Messenger-Dienste, Telegram oder Discord von angeblichen Mitarbeitern kontaktiert. Diese bieten Kryptowährungszahlungen für die Teilnahme an Softwaretests an.
Malware zielt auf Nutzer von Krypto-Wallets unter Windows und macOS ab
Die Windows-Versionen werden übertron Apps verbreitet, die Registrierungscodes von imitierten Mitarbeitern verlangen. Die Benutzer laden die Schadsoftware herunter, nachdem sie die über soziale Medien übermittelten Codes eingegeben haben. Vor der Ausführung der Schadsoftware auf den Zielsystemen werden CloudFlare-Verifizierungsbildschirme angezeigt.
Die Schadsoftware sammelt Systemprofile mit Benutzernamen, CPU-Details, RAM-Auslastung und Grafikdaten. MAC-Adressen und System-UUIDs werden in ersten Aufklärungsphasen erfasst. Tokenbasierte Authentifizierungsmechanismen verwenden Token, die aus den URLs der Anwendungsstarter abgeleitet werden.
Gestohlene Codesignaturzertifikate erhöhen die Legitimität von Software und umgehen Sicherheitsüberprüfungen. Es wurden Zertifikate von Unternehmen wie Jiangyin FengyuantronCo. und PaperbucketMDB ApS verwendet. Python wird abgerufen und zur Befehlsausführung in temporären Verzeichnissen gespeichert.
macOS-Distributionen werden als DMG-Dateien veröffentlicht, die Bash-Skripte und Binärdateien enthalten. Die Skripte verwenden Verschleierungstechniken wie Base64-Kodierung und XOR-Verschlüsselung. AppleScript bindetmaticSchadsoftware ein und führt ausführbare Dateien aus temporären Verzeichnissen aus.
Die macOS-Malware führt Anti-Analyse-Prüfungen für QEMU-, VMware- und Docker-Umgebungen durch. Atomic Stealer zielt auf Browserdaten, Krypto-Wallets, Cookies und Dokumentdateien ab. Die gestohlenen Daten werden komprimiert und per POST-Anfrage an Server gesendet.
Zusätzliche Bash-Skripte stellen durch Launch-Agent-Konfigurationen beim Login eine dauerhafte Verbindung her. Die Malware protokolliert kontinuierlich die Nutzung aktiver Anwendungen und Fensterinformationen. Zeitstempel der Benutzerinteraktionen werden aufgezeichnet und regelmäßig an Sammelserver übermittelt.
Beide Versionen zielen speziell auf Daten von Kryptowährungs-Wallets ab, um diese zu stehlen. Mehrere gefälschte Firmen verbreitendentSchadsoftware mit unterschiedlichem Branding und Design.
Umfangreiche Liste von gefälschten Unternehmen, die auf verschiedenen Plattformendentwurden
Darktracenthüllte mehrere Scheinfirmen, die im Rahmen dieser Social-Engineering-Kampagne aktiv sind. Pollens AI gibt sich mithilfe von X-Accounts und anderen Websites als Kollaborationswerkzeuge aus. Buzzu verwendet dieselben Logos und denselben Code wie Pollens, tritt aber unter einem anderen Markennamen auf.
Cloudsign bietet Berichten zufolge eine Plattform für die Dokumentensignatur für Geschäftskunden an. Swox ist ein soziales Netzwerk der nächsten Generation im Web3-Bereich. KlastAI ist eng mit Pollens-Konten und -Websites verbunden, die dasselbe Branding tragen.
Wasper verwendet in verschiedenen Bereichen dieselben Logos und denselben GitHub-Code wie Pollens. Lunelior ist über verschiedene Websites für unterschiedliche Nutzergruppen aktiv. BeeSync firmierte vor dem Rebranding im Januar 2025 unter dem Alias Buzzu.
Slax betreibt Social-Media- und KI-zentrierte Seiten auf mehreren Websites. Solune erreicht Nutzer über Aktivitäten auf Social-Media-Plattformen und die Nutzung von Messaging-Apps. Eternal Decay ist ein Blockchain-Gaming-Unternehmen mit synthetischen Konferenzpräsentationen.
Dexis firmierte unter demselben Markennamen wie Swox und hatte dieselbe Nutzerbasis. NexVoo verwaltete mehrere Domains und Social-Media-Plattformen. NexLoop firmierte zu NexoraCore um, indem die GitHub-Repositories umbenannt wurden.
YondaAI zielt auf Nutzer sozialer Medien und verschiedener Webseiten ab. Jedes Unternehmen präsentiert sich professionell durch die Integration in die Plattformen. Die Traffic-Gruppe CrazyEvil führt solche Kampagnen seit 2021 durch.
Recorded Future schätzt die Millionenumsätze von CrazyEvil aus betrügerischen Aktivitäten. Die Gruppe soll für Angriffe auf Krypto-Nutzer, Influencer und DeFi Experten verantwortlich sein. Die Kampagnen zeugen von großem Aufwand, um ein seriöses Geschäftsbild zu erzeugen.
