Una ricerca di Darktracrivela una campagna di ingegneria sociale in corso che prende di mira gli utenti di criptovalute attraverso false startup. I truffatori si spacciano per aziende di intelligenza artificiale, gaming e Web3 utilizzando account di social media falsi.
La documentazione del progetto viene ospitata su piattaforme legittime come Notion e GitHub. La campagna continua a cambiare da dicembre 2024, rivolgendosi ai dipendenti di Web3 a livello globale.
Le aziende false utilizzano piattaforme legittime per costruire una presenza credibile
Gli autori delle minacce creano finte startup basate su temi di intelligenza artificiale, gaming e software per videoconferenze. Le facciate di aziende Web3 e social media aiutano a prendere di mira specificamente gli utenti di criptovalute. Queste operazioni utilizzano account X compromessi, in genere con verifica, per contattare le vittime.
Gli aggressori utilizzano piattaforme legittime, tra cui Notion, Medium e GitHub, per la documentazione. I siti web dall'aspetto professionale includono profili dei dipendenti, blog di prodotto, white paper e roadmap di sviluppo. X account sembrano compromessi, con un numero elevato di follower che contribuisce ad aumentare l'apparenza di legittimità.
I truffatori rimangono attivi sui social media pubblicando aggiornamenti sullo sviluppo del software. I contenuti di marketing dei prodotti vengono condivisi regolarmente mentre le campagne vengono eseguite su più piattaforme. Il gioco blockchain Eternal Decay ha creato false foto di presentazioni di conferenze per dare credibilità.
Gli aggressori hanno persino alterato le foto di fiere italiane, facendole apparire come presentazioni aziendali. Medium ospita post di blog su falsi prodotti software e sviluppi aziendali. Notion contiene roadmap dettagliate dei prodotti e informazioni complete sull'elenco dei dipendenti.
I repository GitHub presentano aspetti software tecnici che utilizzano progetti open source rubati. I nomi in codice vengono modificati per far apparire i repository unici e originali. Le informazioni di registrazione delle aziende provenienti da Companies House vengono collegate ad aziende con nomi simili.
Gitbook fornisce informazioni dettagliate sulle aziende ed elenca partnership con investitori fittizi per garantire la credibilità. Immagini di gameplay rubate dal gioco compaiono come contenuti di Eternal Decay. Alcune aziende fittizie aprono negozi di merchandising per completare la facciata aziendale.
Questi elementi combinati creano un'immagine convincente di startup, aumentando il tasso di successo dell'infezione. Le vittime vengono contattate dai dipendenti tramite messaggi X, Telegram o Discord. I falsi dipendenti offrono pagamenti in criptovaluta per la partecipazione ai test del software.
Malware che prende di mira gli utenti di portafogli crittografici Windows e macOS
Le versioni per Windows vengono distribuite tramite apptron che richiedono codici di registrazione a dipendenti impersonati. I file bin vengono scaricati dagli utenti dopo aver inserito i codici forniti tramite messaggi sui social media. Le schermate di verifica di CloudFlare vengono visualizzate prima dell'esecuzione del malware sui sistemi di destinazione.
Il malware raccoglie profili di sistema in base a nome utente, dettagli della CPU, RAM e grafica. Gli indirizzi MAC e gli UUID di sistema vengono raccolti in fasi di ricognizione preliminari. I meccanismi di autenticazione basati su token utilizzano token derivati dagli URL dei launcher delle applicazioni.
I certificati di firma del codice rubati aumentano la legittimità del software ed eludono il rilevamento di sicurezza. Aziende come Jiangyin FengyuantronCo. e Paperbucketmdb ApS hanno utilizzato certificati. Python viene recuperato e archiviato in directory temporanee per l'esecuzione dei comandi.
Le distribuzioni macOS vengono rilasciate come file DMG contenenti script bash e binari. Gli script utilizzano tecniche di offuscamento come la codifica base64 e la crittografia XOR. AppleScript montamaticil malware ed esegue gli eseguibili dalle directory temporanee.
Il malware per macOS esegue controlli anti-analisi per gli ambienti QEMU, VMWare e Docker. Atomic Stealer prende di mira i dati del browser, i wallet di criptovalute, i cookie e i file di documenti. I dati rubati vengono compressi e inviati tramite richieste POST ai server.
Ulteriori script bash stabiliscono la persistenza tramite le configurazioni di Launch Agent all'accesso. Il malware registra costantemente l'utilizzo delle applicazioni attive e le informazioni sulle finestre. I timestamp delle interazioni dell'utente vengono registrati e trasmessi periodicamente ai server di raccolta.
Entrambe le versioni prendono di mira specificamente i dati dei wallet di criptovalute per operazioni di furto. Diverse aziende fasulle distribuiscono malwaredentcon marchi e temi diversi.
Elenco completo di aziende falsedentsu più piattaforme
trace ha rivelato diverse aziende fasulle che operano attraverso questa campagna di ingegneria sociale. Pollens AI impersona strumenti di creazione collaborativa utilizzando account X e altri siti web. Buzzu utilizza gli stessi loghi e codice di Pollens, ma utilizza un marchio diverso.
Cloudsign è un servizio di piattaforma per la firma di documenti destinato alle aziende. Swox è un social network di nuova generazione basato sullo spazio Web3. KlastAI è strettamente collegato agli account Pollens e ai siti con lo stesso marchio.
Wasper utilizza gli stessi loghi e codice GitHub di Pollens in diverse aree. Lunelior opera attraverso vari siti web, rivolti a diversi gruppi di utenti. BeeSync operava in precedenza con l'alias Buzzu prima del suo rebranding nel gennaio 2025.
Slax ospita siti di social media e intelligenza artificiale su diversi siti web. Solune raggiunge gli utenti attraverso l'attività sui social media e l'utilizzo di app di messaggistica. Eternal Decay è un'azienda di gaming blockchain con presentazioni sintetiche per conferenze.
Dexis ha lo stesso marchio di Swox e condivide la stessa base utenti. NexVoo ha diversi domini e gestisce piattaforme di social media. NexLoop ha cambiato nome in NexoraCore, rinominando i repository GitHub.
YondaAI si rivolge agli utenti dei social media e a vari domini web. Ogni azienda si presenta in modo professionale attraverso vere e proprie procedure di integrazione con la piattaforma. Il gruppo di traslochi CrazyEvil gestisce campagne di questo tipo dal 2021.
Recorded Future stima approssimativamente i milioni di ricavi di CrazyEvil derivanti da attività illecite. Si ritiene che il gruppo sia responsabile di attacchi contro utenti di criptovalute, influencer e professionisti DeFi . Le campagne mostrano notevoli sforzi per apparire come aziende legittime.
