가짜 스타트업을 이용한 소셜 엔지니어링 공격이 암호화폐 사용자들을 겨냥하고 있다는 보고서가 나왔습니다

다크trac연구에 따르면 가짜 스타트업 회사를 이용해 암호화폐 사용자를 노리는 소셜 엔지니어링 캠페인이 진행 중입니다. 사기꾼들은 위조된 소셜 미디어 계정을 사용하여 AI, 게임 및 웹3 기업을 사칭하고 있습니다.

프로젝트 문서는 Notion 및 GitHub와 같은 합법적인 플랫폼에 호스팅됩니다. 이 캠페인은 2024년 12월부터 전 세계 Web3 직원을 대상으로 지속적으로 변경되고 있습니다.

가짜 회사는 합법적인 플랫폼을 이용하여 신뢰도 있는 이미지를 구축합니다

위협 행위자들은 AI, 게임, 화상 회의 소프트웨어 등을 주제로 가짜 스타트업 회사를 만듭니다. 웹3 및 소셜 미디어 회사라는 가면을 사용하여 암호화폐 사용자를 구체적으로 표적으로 삼습니다. 이러한 공격은 일반적으로 인증이 완료된 해킹된 X 계정을 이용하여 피해자에게 접근합니다.

공격자들은 Notion, Medium, GitHub 등 합법적인 플랫폼을 문서화에 활용합니다. 전문적인 웹사이트에는 직원 프로필, 제품 블로그, 백서, 개발 로드맵 등이 포함되어 있습니다. 팔로워 수가 많은 일부 계정은 해킹당한 것으로 보이며, 이는 합법적인 플랫폼처럼 보이게 하는 효과를 냅니다.

사기꾼 들은 소셜 미디어 계정을 통해 소프트웨어 개발 업데이트를 게시하며 활발하게 활동하고 있습니다. 제품 마케팅 콘텐츠가 정기적으로 공유되는 가운데, 다양한 플랫폼에서 캠페인이 진행됩니다. 블록체인 게임 '이터널 디케이'는 신뢰도를 높이기 위해 가짜 컨퍼런스 발표 사진을 제작하기도 했습니다.

공격자들은 심지어 이탈리아 전시회 사진을 회사 프레젠테이션처럼 보이도록 조작하기도 했습니다. Medium에는 가짜 소프트웨어 제품과 회사 개발에 대한 블로그 게시물이 올라와 있습니다. Notion에는 상세한 제품 로드맵과 포괄적인 직원 목록 정보가 포함되어 있습니다.

GitHub 저장소에는 도용된 오픈 소스 프로젝트를 활용한 기술 소프트웨어 요소가 포함되어 있습니다. 저장소가 독창적이고 고유한 것처럼 보이도록 코드명이 변경됩니다. 영국 회사 등록소(Companies House)의 회사 등록 정보가 유사한 이름의 회사들과 연결됩니다.

Gitbook은 회사 정보를 상세히 설명하고 신뢰도를 높이기 위해 가짜 투자자 파트너십 목록을 제시합니다. 좀비 위딘(Zombie Within) 게임 이터널 디케이(Eternal Decay) 콘텐츠인 것처럼 사용됩니다. 일부 가짜 회사는 사업의 허울을 완성하기 위해 상품 판매점을 개설하기도 합니다.

이러한 요소들이 결합되어 그럴듯한 스타트업 기업처럼 보이게 만들어 감염 성공률을 높입니다. 피해자들은 X 메시지, 텔레그램 또는 디스코드를 통해 직원으로 위장한 연락을 받습니다. 가짜 직원들은 소프트웨어 테스트 참여에 대한 대가로 암호화폐를 지급하겠다고 제안합니다.

윈도우 및 macOS 암호화폐 지갑 사용자를 대상으로 하는 악성코드

Windows 버전은 사칭된 직원으로부터 등록 코드를 요구하는 Electron ​​앱을 통해 배포됩니다. 사용자는 소셜 미디어 메시지를 통해 제공된 코드를 입력한 후 악성코드 파일을 다운로드합니다. 대상 시스템에서 악성코드가 실행되기 전에 CloudFlare 인증 화면이 표시됩니다.

이 악성 프로그램은 사용자 이름, CPU 정보, RAM, 그래픽 카드 정보 등 시스템 프로필을 수집합니다. 초기 정찰 단계에서는 MAC 주소와 시스템 UUID를 수집합니다. 토큰 기반 인증 메커니즘은 애플리케이션 실행기 URL에서 파생된 토큰을 사용합니다.

도난당한 코드 서명 인증서는 소프트웨어의 합법성을 높이고 보안 탐지를 회피하는 데 사용됩니다. 장인펑위안전자(Jiangyin FengyuantronCo.)와 페이퍼버킷mdb ApS(Paperbucketmdb ApS)와 같은 회사의 인증서가 사용되었습니다. 파이썬은 명령 실행을 위해 임시 디렉터리에 저장되어 검색됩니다.

macOS 배포판은 bash 스크립트와 바이너리를 포함하는 DMG 파일 형태로 배포됩니다. 스크립트는 base64 인코딩 및 XOR 암호화와 같은 난독화 기법을 사용합니다. AppleScript는 악성코드를 마운트하고 임시 디렉터리에서 실행 파일을matic으로 실행합니다.

macOS용 악성 프로그램인 Atomic Stealer는 QEMU, VMWare 및 Docker 환경에 대한 안티 분석 검사를 수행합니다. 이 프로그램은 브라우저 데이터, 암호화폐 지갑, 쿠키 및 문서 파일을 표적으로 삼습니다. 탈취된 데이터는 압축되어 POST 요청을 통해 서버로 전송됩니다.

추가 bash 스크립트는 로그인 시 Launch Agent 구성을 통해 지속성을 확보합니다. 악성 프로그램은 활성 애플리케이션 사용 및 창 정보를 지속적으로 기록합니다. 사용자 상호 작용 타임스탬프는 기록되어 주기적으로 수집 서버로 전송됩니다.

두 버전 모두 암호화폐 지갑 데이터를 노려 절도 행위를 목적으로 합니다. 여러 가짜 회사가 서로 다른 브랜드와 테마를 사용하여dent악성 소프트웨어를 유포합니다.

다양한 플랫폼에서dent한 가짜 회사들의 광범위한 목록입니다

다크trac를 통해 이 소셜 엔지니어링 캠페인에 연루된 여러 가짜 회사가 드러났습니다. Pollens AI는 X 계정과 다른 웹사이트를 이용하여 협업 콘텐츠 제작 도구를 사칭합니다. Buzzu는 Pollens와 동일한 로고와 코드를 사용하지만 다른 브랜드로 운영됩니다.

Cloudsign은 기업 고객에게 문서 서명 플랫폼 서비스를 제공하는 것으로 알려져 있습니다. Swox는 웹3 기반의 차세대 소셜 네트워크입니다. KlastAI는 Pollens의 계정 및 동일한 브랜드를 사용하는 사이트와 밀접한 관련이 있습니다.

Wasper는 다양한 영역에서 Pollens와 동일한 로고와 GitHub 코드를 사용합니다. Lunelior는 특정 사용자 그룹을 대상으로 하는 다양한 웹사이트를 통해 운영됩니다. BeeSync는 2025년 1월 브랜드명을 변경하기 전에는 Buzzu라는 별칭으로 운영되었습니다.

Slax는 여러 웹사이트에서 소셜 미디어 및 AI 중심 사이트를 호스팅합니다. Solune은 소셜 미디어 플랫폼 활동과 메시징 앱 사용을 통해 사용자에게 접근합니다. Eternal Decay는 가상 컨퍼런스 발표를 제공하는 블록체인 게임 회사입니다.

Dexis는 Swox와 동일한 브랜드를 사용하며 사용자 기반을 공유했습니다. NexVoo는 여러 도메인과 소셜 미디어 플랫폼 관리 기능을 제공합니다. NexLoop는 GitHub 저장소 이름을 변경하여 NexoraCore로 브랜드를 변경했습니다.

YondaAI는 소셜 미디어 사이트 사용자 및 다양한 웹사이트 도메인 사용자를 대상으로 합니다. 모든 기업은 실제 플랫폼 통합 절차를 통해 전문적인 이미지를 구축할 수 있습니다. CrazyEvil 트래픽 유입 그룹은 2021년부터 이러한 캠페인을 운영해 왔습니다.

Recorded Future는 CrazyEvil이 악의적인 활동으로 벌어들인 수백만 달러의 수익을 추산합니다. 이 그룹은 암호화폐 사용자, 인플루언서 및 DeFi 전문가를 대상으로 한 공격의 배후에 있는 것으로 알려져 있습니다. 이들의 캠페인은 합법적인 사업체처럼 보이도록 광범위하게 위장한 것으로 나타났습니다.