ソーシャルエンジニアリングキャンペーンは偽のスタートアップを介して暗号通貨ユーザーをターゲットにしていると報告されている

Darktraceの調査により、偽のスタートアップ企業を通じて暗号通貨ユーザーを狙うソーシャルエンジニアリング攻撃が進行中であることが明らかになりました。詐欺師は、偽装したソーシャルメディアアカウントを用いて、AI、ゲーム、Web3関連企業を装っています。.

プロジェクトドキュメントは、NotionやGitHubなどの正規のプラットフォームでホストされます。このキャンペーンは2024年12月から変化を続け、世界中のWeb3従業員を標的としています。.

偽の企業は合法的なプラットフォームを利用して信頼できる存在を構築している

脅威アクターは、AI、ゲーム、ビデオ会議ソフトウェアをテーマにした偽のスタートアップ企業を作り上げます。Web3やソーシャルメディア企業の偽装は、特に暗号通貨ユーザーを標的とするのに役立ちます。これらの活動は、通常、認証済みの侵害されたXアカウントを使用して被害者と連絡を取ります。.

攻撃者は、Notion、Medium、GitHubなどの正規のプラットフォームをドキュメント作成に利用しています。プロフェッショナルな雰囲気のウェブサイトには、従業員プロフィール、製品ブログ、ホワイトペーパー、開発ロードマップなどが掲載されています。Xアカウントは、フォロワー数が多いことで正規のアカウントであるかのように見せかけ、不正アクセスされているように見えます。.

詐欺 師たちは ソーシャルメディアアカウントでソフトウェア開発の最新情報を投稿し続けています。製品マーケティングコンテンツは定期的に共有され、キャンペーンは複数のプラットフォームで展開されています。ブロックチェーンゲーム「Eternal Decay」は、信頼性を高めるために偽のカンファレンスプレゼンテーション写真を作成しました。

攻撃者はイタリアの展示会の写真を改ざんし、企業のプレゼンテーション資料のように見せかけました。Mediumは偽のソフトウェア製品や企業開発に関するブログ記事を掲載しています。Notionは詳細な製品ロードマップと包括的な従業員リスト情報を提供しています。.

GitHubリポジトリは、盗用されたオープンソースプロジェクトを利用した技術的なソフトウェア要素を特徴としています。リポジトリが独自性があり、独創的であるように見せるため、コードネームは変更されています。企業登記所の会社登録情報は、類似した名前の企業にリンクされています。.

Gitbookは企業情報を詳細に扱い、信頼性を高めるために偽の投資家パートナーシップをリストアップしています。Zombie Withinから盗まれたゲームプレイ画像は、 Eternal Decayのコンテンツとして表示されています。偽企業の中には、ビジネスの見せかけを完成させるためにグッズストアを設立するところもあります。

これらの要素が組み合わさることで、スタートアップ企業を装った説得力のある外観が生まれ、感染成功率を高めます。被害者は、Xメッセージ、Telegram、またはDiscordを通じて従業員から連絡を受けます。偽の従業員は、ソフトウェアテストへの参加に対して暗号通貨による報酬を提示します。.

WindowsとmacOSの暗号ウォレットユーザーを標的とするマルウェア

Windows版は、なりすましの従業員に登録コードを要求するtron アプリを介して配布されます。ソーシャルメディアのメッセージで提供されたコードを入力すると、ユーザーがビンをダウンロードします。標的のシステムでマルウェアが実行される前に、CloudFlareの検証画面が表示されます。.

マルウェアは、ユーザー名、CPUの詳細、RAM、グラフィックスといったシステムプロファイルを収集します。MACアドレスとシステムUUIDは、予備偵察段階で収集されます。トークンベースの認証メカニズムでは、アプリケーションランチャーのURLから生成されたトークンが使用されます。.

盗まれたコード署名証明書はソフトウェアの正当性を高め、セキュリティ検出を回避します。江陰豊源電子tron公司やPaperbucketmdb ApSといった企業の証明書が使用されました。Pythonは取得され、コマンド実行のために一時ディレクトリに保存されます。.

macOSディストリビューションは、bashスクリプトとバイナリを含むDMGファイルとしてリリースされます。スクリプトはbase64エンコードやXOR暗号化などの難読化技術を使用しています。AppleScriptはマルウェアをマウントし、一時ディレクトリから実行ファイルをmaticに実行します。.

macOSマルウェアは、QEMU、VMWare、Docker環境に対して解析回避チェックを実行します。Atomic Stealerは、ブラウザデータ、暗号ウォレット、Cookie、ドキュメントファイルを標的とします。窃取されたデータは圧縮され、POSTリクエストを介してサーバーに送信されます。.

追加のbashスクリプトは、ログイン時にLaunch Agentの設定を通じて永続性を確立します。マルウェアはアクティブなアプリケーションの使用状況とウィンドウ情報を継続的に記録します。ユーザーインタラクションのタイムスタンプは記録され、定期的に収集サーバーに送信されます。.

どちらのバージョンも、暗号通貨ウォレットのデータを窃盗目的で標的としています。複数の偽企業が、異なるブランドやテーマで同一dentマルウェアを配布しています。.

複数のプラットフォームでdentされた偽企業の広範なリスト

Darktraceは、このソーシャルエンジニアリングキャンペーンに複数の偽企業が関与している可能性を明らかにしました。Pollens AIは、Xアカウントやその他のウェブサイトを利用して共同制作ツールを装います。BuzzuはPollensと同じロゴとコードを使用していますが、異なるブランド名で運営されています。.

Cloudsignは、企業消費者向けに文書署名プラットフォームサービスを提供していると報告されています。SwoxはWeb3空間を基盤とした次世代ソーシャルネットワークです。KlastAIは、Pollensのアカウントや同じブランド名を持つサイトと密接に連携しています。.

Wasperは、Pollensと同じロゴとGitHubコードを様々な分野で使用しています。Luneliorは、様々なユーザーグループにサービスを提供する様々なウェブサイトを通じて運営されています。BeeSyncは、2025年1月にブランド名を変更するまで、Buzzuの別名として運営されていました。.

Slaxは複数のウェブサイトでソーシャルメディアとAI中心のサイトをホストしています。Soluneはソーシャルメディアプラットフォームのアクティビティとメッセージングアプリの利用を通じてユーザーにリーチしています。Eternal Decayは、合成カンファレンスプレゼンテーションを行うブロックチェーンゲーム企業です。.

DexisはSwoxと同じブランド名で、同じユーザーベースを共有しています。NexVooは複数のドメインとソーシャルメディアプラットフォームの管理機能を備えています。NexLoopはGitHubリポジトリの名前を変更し、NexoraCoreにブランド名を変更しました。.

YondaAIは、ソーシャルメディアサイトのユーザーや様々なウェブサイトドメインのユーザーをターゲットにしています。あらゆる企業は、実際のプラットフォーム統合プロセスを通じて、プロフェッショナルなフロントエンドを構築しています。CrazyEvilトラファーグループは、2021年からこのようなキャンペーンを展開しています。.

Recorded Futureは、CrazyEvilの悪意ある活動による収益を数百万ドルと推定しています。このグループは、暗号資産ユーザー、インフルエンサー、そして DeFi 専門家への攻撃の背後にいると言われています。これらのキャンペーンは、合法的なビジネスを装うための多大な努力を示しています。.