Des recherches sur Darktracrévèlent une campagne d'ingénierie sociale en cours ciblant les utilisateurs de cryptomonnaies via de fausses start-ups. Les escrocs se font passer pour des entreprises d'IA, de jeux vidéo et du Web3 en utilisant de faux comptes sur les réseaux sociaux.
La documentation du projet est hébergée sur des plateformes légitimes comme Notion et GitHub. La campagne, qui évolue constamment depuis décembre 2024, cible les employés du Web3 à l'échelle mondiale.
Les entreprises fictives utilisent des plateformes légitimes pour se forger une présence crédible
Des acteurs malveillants créent de fausses start-ups axées sur l'IA, les jeux vidéo ou les logiciels de visioconférence. Ces façades d'entreprises Web3 et de réseaux sociaux permettent de cibler spécifiquement les utilisateurs de cryptomonnaies. Ces opérations utilisent des comptes X compromis, généralement vérifiés, pour contacter leurs victimes.
Les attaquants utilisent des plateformes légitimes comme Notion, Medium et GitHub pour la documentation. Les sites web, d'apparence professionnelle, présentent des profils d'employés, des blogs produits, des livres blancs et des feuilles de route de développement. Les comptes X semblent compromis, mais le nombre élevé d'abonnés renforce leur apparence de légitimité.
Les escrocs restent actifs sur les réseaux sociaux, publiant régulièrement des mises à jour sur le développement logiciel. Le contenu marketing des produits est partagé fréquemment, tandis que les campagnes se déroulent sur plusieurs plateformes. Le jeu blockchain Eternal Decay a utilisé de fausses photos de présentation de conférence pour gagner en crédibilité.
Les pirates ont même modifié des photos d'expositions italiennes pour les faire passer pour des présentations d'entreprise. Medium héberge des articles de blog sur de faux logiciels et des développements d'entreprises. Notion propose des feuilles de route produits détaillées et une liste exhaustive des employés.
Les dépôts GitHub présentent des aspects techniques de logiciels utilisant des projets open source volés. Les noms de code sont modifiés pour donner l'illusion d'unicité et d'originalité aux dépôts. Les informations d'immatriculation des entreprises auprès de Companies House sont associées à des sociétés aux noms similaires.
Gitbook fournit des informations détaillées sur l'entreprise et recense de faux partenariats avec des investisseurs pour renforcer sa crédibilité. Des images de gameplay volées au jeu apparaissent comme contenu d'Eternal Decay. Certaines entreprises fictives créent des boutiques en ligne pour parfaire leur façade.
Ces éléments combinés créent des apparences convaincantes de start-up, augmentant ainsi les chances de succès des arnaques. Les victimes sont contactées par messages X, Telegram ou Discord par de faux employés. Ces derniers proposent des paiements en cryptomonnaie pour participer à des tests logiciels.
Logiciel malveillant ciblant les utilisateurs de portefeuilles crypto sous Windows et macOS
Les versions Windows sont distribuées via des applicationstron qui exigent des codes d'enregistrement de la part d'employés usurpés. Les fichiers binaires sont téléchargés par les utilisateurs après la saisie des codes reçus par messagerie sur les réseaux sociaux. Des écrans de vérification CloudFlare s'affichent avant l'exécution du logiciel malveillant sur les systèmes cibles.
Le logiciel malveillant collecte des informations système telles que le nom d'utilisateur, les détails du processeur, la mémoire vive et la carte graphique. Les adresses MAC et les UUID système sont collectés lors des phases de reconnaissance préliminaires. Les mécanismes d'authentification par jeton utilisent des jetons dérivés des URL de lancement des applications.
Les certificats de signature de code volés augmentent la légitimité des logiciels et permettent de contourner la détection de sécurité. Des certificats d'entreprises telles que Jiangyin FengyuantronCo. et Paperbucketmdb ApS ont été utilisés. Python est récupéré et stocké dans des répertoires temporaires pour l'exécution des commandes.
Les distributions macOS sont publiées sous forme de fichiers DMG contenant des scripts Bash et des fichiers binaires. Ces scripts utilisent des techniques d'obfuscation telles que l'encodage Base64 et le chiffrement XOR. AppleScript monte les logiciels malveillants et exécutematicles fichiers exécutables depuis des répertoires temporaires.
Ce logiciel malveillant pour macOS effectue des vérifications anti-analyse pour les environnements QEMU, VMware et Docker. Atomic Stealer cible les données du navigateur, les portefeuilles de cryptomonnaies, les cookies et les documents. Les données volées sont compressées et envoyées aux serveurs via des requêtes POST.
Des scripts Bash supplémentaires assurent la persistance du logiciel malveillant via la configuration de l'agent de lancement lors de l'ouverture de session. Le logiciel malveillant enregistre en continu l'utilisation des applications actives et les informations relatives aux fenêtres. Les horodatages des interactions de l'utilisateur sont enregistrés et transmis périodiquement aux serveurs de collecte.
Les deux versions ciblent les données des portefeuilles de cryptomonnaies spécifiquement à des fins de vol. Plusieurs sociétés fictives distribuent des logiciels malveillants d'dentavec des marques et des thèmes différents.
Liste exhaustive de fausses entreprises quedentidentifiées sur plusieurs plateformes
Darktraca révélé plusieurs sociétés fictives impliquées dans cette campagne d'ingénierie sociale. Pollens AI usurpe l'identité d'outils de création collaborative en utilisant des comptes X et d'autres sites web. Buzzu utilise les mêmes logos et le même code que Pollens, mais opère sous une marque différente.
Cloudsign propose des services de plateforme de signature électronique aux entreprises. Swox est un réseau social de nouvelle génération basé sur le Web3. KlastAI est étroitement lié aux comptes et sites Pollens portant la même marque.
Wasper utilise les mêmes logos et le même code GitHub que Pollens sur différents supports. Lunelior opère via divers sites web destinés à des groupes d'utilisateurs spécifiques. BeeSync était auparavant connu sous le nom de Buzzu avant son changement de marque en janvier 2025.
Slax héberge des sites web dédiés aux réseaux sociaux et à l'intelligence artificielle. Solune touche les utilisateurs via leur activité sur les plateformes de médias sociaux et l'utilisation d'applications de messagerie. Eternal Decay est une entreprise de jeux blockchain proposant des présentations de conférences synthétiques.
Dexis utilise la même marque que Swox et partage la même base d'utilisateurs. NexVoo gère plusieurs domaines et plateformes de médias sociaux. NexLoop est devenu NexoraCore en renommant ses dépôts GitHub.
YondaAI cible les utilisateurs des réseaux sociaux et de divers sites web. Chaque entreprise dispose d'une présence professionnelle grâce à des procédures d'intégration de plateformes. Le groupe de trafiquants CrazyEvil mène ce type de campagnes depuis 2021.
Recorded Future estime les revenus de CrazyEvil à plusieurs millions de dollars provenant d'activités malveillantes. Ce groupe serait à l'origine d'attaques contre des utilisateurs de cryptomonnaies, des influenceurs et des professionnels de la finance décentralisée DeFi . Les campagnes menées témoignent d'efforts considérables pour se faire passer pour des entreprises légitimes.
