Una investigación de Darktracrevela una campaña de ingeniería social en curso dirigida a usuarios de criptomonedas a través de startups falsas. Los estafadores se hacen pasar por empresas de inteligencia artificial, videojuegos y Web3 utilizando cuentas falsas en redes sociales.
La documentación del proyecto se aloja en plataformas legítimas como Notion y GitHub. La campaña continúa evolucionando desde diciembre de 2024 y está dirigida a empleados de Web3 a nivel mundial.
Las empresas falsas utilizan plataformas legítimas para construir una presencia creíble
Los actores de amenazas crean startups falsas con temáticas de IA, videojuegos y software de videoconferencias. Las fachadas de empresas de Web3 y redes sociales ayudan a atacar específicamente a los usuarios de criptomonedas. Estas operaciones utilizan cuentas X comprometidas, generalmente con verificación, para contactar a las víctimas.
Los atacantes utilizan plataformas legítimas como Notion, Medium y GitHub para la documentación. Los sitios web de aspecto profesional incluyen perfiles de empleados, blogs de productos, informes técnicos y hojas de ruta de desarrollo. Las cuentas X parecen estar comprometidas, con un mayor número de seguidores, lo que refuerza su apariencia de legitimidad.
Los estafadores se mantienen activos en redes sociales publicando actualizaciones sobre desarrollo de software. El contenido de marketing de productos se comparte con regularidad mientras las campañas operan en diversas plataformas. El juego blockchain Eternal Decay creó fotos falsas de presentaciones en conferencias para ganar credibilidad.
Los atacantes incluso alteraron fotos de exposiciones italianas para que parecieran presentaciones de la empresa. Medium publica entradas de blog sobre productos de software falsos y desarrollos de la empresa. Notion contiene hojas de ruta detalladas de productos e información completa sobre los empleados.
Los repositorios de GitHub presentan aspectos técnicos de software utilizando proyectos de código abierto robados. Los nombres de código se modifican para que los repositorios parezcan únicos y originales. La información de registro de empresas del Registro Mercantil (Companies House) se vincula a empresas con nombres similares.
Gitbook detalla información de la empresa y enumera asociaciones de inversores falsos para mayor credibilidad. Imágenes de gameplay robadas de Zombie Within aparecen como contenido de Eternal Decay. Algunas empresas falsas establecen tiendas de productos para completar su fachada comercial.
Estos elementos combinados crean apariencias convincentes de startups, lo que aumenta las tasas de éxito de la infección. Las víctimas reciben contacto de sus empleados a través de mensajes X, Telegram o Discord. Trabajadores falsos ofrecen pagos en criptomonedas por participar en pruebas de software.
Malware dirigido a usuarios de monederos electrónicos de Windows y macOS
Las versiones de Windows se distribuyen mediante aplicacionestron que solicitan códigos de registro a empleados suplantados. Los usuarios descargan los contenedores tras introducir los códigos proporcionados a través de redes sociales. Se muestran pantallas de verificación de CloudFlare antes de la ejecución del malware en los sistemas objetivo.
El malware recopila perfiles del sistema como nombre de usuario, detalles de la CPU, RAM y gráficos. Las direcciones MAC y los UUID del sistema se recopilan en fases preliminares de reconocimiento. Los mecanismos de autenticación basados en tokens utilizan tokens derivados de las URL del lanzador de aplicaciones.
Los certificados de firma de código robados aumentan la legitimidad del software y evaden la detección de seguridad. Se utilizaron certificados de empresas como Jiangyin FengyuantronCo. y Paperbucketmdb ApS. Python se recupera y se almacena en directorios temporales para la ejecución de comandos.
Las distribuciones de macOS se publican como archivos DMG que contienen scripts y binarios de bash. Los scripts utilizan técnicas de ofuscación como la codificación base64 y el cifrado XOR. AppleScript monta malware y ejecutamaticarchivos ejecutables desde directorios temporales.
El malware para macOS realiza comprobaciones antianálisis en entornos QEMU, VMWare y Docker. Atomic Stealer ataca datos del navegador, monederos de criptomonedas, cookies y archivos de documentos. Los datos robados se comprimen y se envían mediante solicitudes POST a los servidores.
Scripts bash adicionales establecen persistencia mediante las configuraciones del Agente de Inicio al iniciar sesión. El malware registra continuamente el uso de la aplicación activa y la información de las ventanas. Las marcas de tiempo de la interacción del usuario se registran y se transmiten periódicamente a los servidores de recopilación.
Ambas versiones se dirigen específicamente a los datos de monederos electrónicos de criptomonedas para operaciones de robo. Varias empresas falsas distribuyen malwaredentcon diferentes marcas y temáticas.
Amplia lista de empresas falsas quedenten múltiples plataformas
Darktrace reveló varias empresas fraudulentas que operan a través de esta campaña de ingeniería social. Pollens AI suplanta herramientas de creación colaborativa utilizando cuentas X y otros sitios web. Buzzu utiliza los mismos logotipos y código que Pollens, pero opera bajo una marca diferente.
Se informa que Cloudsign ofrece servicios de plataforma de firma de documentos a empresas. Swox es una red social de nueva generación en el espacio Web3. KlastAI está estrechamente vinculada a las cuentas de Pollens y a los sitios web que comparten la misma marca.
Wasper usa los mismos logotipos y código de GitHub que Pollens en varias áreas. Lunelior opera a través de varios sitios web que atienden a diversos grupos de usuarios. BeeSync operaba anteriormente como el alias Buzzu antes de su cambio de marca en enero de 2025.
Slax aloja redes sociales y sitios web centrados en IA en varios sitios web. Solune llega a los usuarios a través de la actividad en redes sociales y el uso de aplicaciones de mensajería. Eternal Decay es una empresa de juegos blockchain con presentaciones de conferencias sintéticas.
Dexis tiene la misma marca que Swox y comparte la misma base de usuarios. NexVoo cuenta con múltiples dominios y gestión de plataformas de redes sociales. NexLoop cambió su nombre a NexoraCore al renombrar los repositorios de GitHub.
YondaAI se dirige a usuarios de redes sociales y de diversos dominios web. Todas las empresas cuentan con una sólida presencia profesional mediante procesos de integración con plataformas reales. El grupo de traficantes CrazyEvil lleva realizando este tipo de campañas desde 2021.
Recorded Future estima los millones de ingresos que CrazyEvil obtiene de actividades maliciosas. Se dice que el grupo está detrás de ataques contra usuarios de criptomonedas, influencers y profesionales DeFi . Las campañas muestran grandes esfuerzos para aparentar ser negocios legítimos.
