Uma campanha de engenharia social tem como alvo usuários de criptomoedas por meio de startups falsas, segundo relatório

A investigação da Darktracrevela uma campanha contínua de engenharia social direcionada a usuários de criptomoedas por meio de empresas startups falsas. Os golpistas se fazem passar por empresas de IA, jogos e Web3 usando contas de mídia social falsificadas.

A documentação do projeto é hospedada em plataformas legítimas como Notion e GitHub. A campanha continua a evoluir desde dezembro de 2024, visando funcionários da Web3 em todo o mundo.

Empresas falsas usam plataformas legítimas para construir uma presença confiável

Os agentes maliciosos criam empresas falsas de startups com temas de inteligência artificial, jogos e softwares de videoconferência. Empresas de fachada da Web3 e de mídias sociais são usadas para atingir especificamente usuários de criptomoedas. Essas operações utilizam contas X comprometidas, geralmente com verificação, para contatar as vítimas.

Os atacantes usam plataformas legítimas, incluindo Notion, Medium e GitHub, para documentação. Os sites com aparência profissional incluem perfis de funcionários, blogs de produtos, white papers e roteiros de desenvolvimento. Algumas contas parecem ter sido comprometidas, com um número maior de seguidores, o que contribui para a aparência de legitimidade.

Os golpistas permanecem ativos em contas de redes sociais, publicando atualizações sobre o desenvolvimento do software. Conteúdo de marketing do produto é compartilhado regularmente, enquanto as campanhas operam em diversas plataformas. O jogo blockchain Eternal Decay criou fotos falsas de apresentações em conferências para ganhar credibilidade.

Os atacantes chegaram a alterar fotos de uma exposição italiana, fazendo-as parecer apresentações da empresa. O Medium hospeda posts de blog sobre produtos de software falsos e desenvolvimentos de empresas. O Notion contém roteiros de produtos detalhados e informações completas sobre a equipe de funcionários.

Os repositórios do GitHub apresentam aspectos técnicos de software usando projetos de código aberto roubados. Os nomes de código são alterados para fazer com que os repositórios pareçam únicos e originais. As informações de registro da empresa na Companies House são vinculadas a empresas com nomes semelhantes.

O Gitbook detalha informações da empresa e lista parcerias falsas com investidores para dar credibilidade. Imagens de jogabilidade roubadas do jogo aparecem como conteúdo de Eternal Decay. Algumas empresas falsas criam lojas de produtos licenciados para manter as fachadas dos negócios.

A combinação desses elementos cria aparências convincentes de empresas iniciantes, aumentando as taxas de sucesso da infecção. As vítimas são contatadas por meio de mensagens do X, Telegram ou Discord por funcionários. Funcionários falsos oferecem pagamentos em criptomoedas em troca de participação em testes de software.

Malware direcionado a usuários de carteiras de criptomoedas no Windows e macOS

As versões para Windows são distribuídas por meio de aplicativostron que exigem códigos de registro de funcionários que se fazem passar por outros. Os usuários baixam os arquivos binários após inserirem os códigos fornecidos via mensagens em redes sociais. Telas de verificação do CloudFlare são exibidas antes da execução do malware nos sistemas-alvo.

O malware coleta perfis do sistema, incluindo nome de usuário, detalhes da CPU, RAM e gráficos. Endereços MAC e UUIDs do sistema são coletados em fases preliminares de reconhecimento. Mecanismos de autenticação baseados em tokens utilizam tokens derivados de URLs de inicialização de aplicativos.

Certificados de assinatura de código roubados aumentam a legitimidade do software e burlam a detecção de segurança. Empresas como Jiangyin FengyuantronCo. e Paperbucketmdb ApS utilizaram certificados roubados. O código Python é recuperado e armazenado em diretórios temporários para execução de comandos.

As distribuições do macOS são lançadas como arquivos DMG contendo scripts bash e binários. Os scripts usam técnicas de ofuscação como codificação base64 e criptografia XOR. O AppleScript monta o malware e executa arquivos executáveis ​​a partir de diretórios temporáriosmatic.

O malware para macOS realiza verificações anti-análise em ambientes QEMU, VMWare e Docker. O Atomic Stealer tem como alvo dados do navegador, carteiras de criptomoedas, cookies e arquivos de documentos. Os dados roubados são compactados e enviados aos servidores por meio de requisições POST.

Scripts bash adicionais estabelecem persistência por meio de configurações do Launch Agent no login. O malware registra continuamente o uso ativo do aplicativo e informações da janela. Os registros de data e hora das interações do usuário são gravados e transmitidos periodicamente para servidores de coleta.

Ambas as versões têm como alvo específico os dados de carteiras de criptomoedas para operações de roubo. Diversas empresas falsas distribuem malwaredentcom marcas e temas diferentes.

Lista extensa de empresas falsasdentem diversas plataformas

A Darktracrevelou diversas empresas falsas operando por meio dessa campanha de engenharia social. A Pollens AI se passa por ferramentas de criação colaborativa usando contas X e outros sites. A Buzzu utiliza os mesmos logotipos e código da Pollens, mas opera sob uma marca diferente.

A Cloudsign, segundo informações, oferece serviços de plataforma de assinatura de documentos para clientes corporativos. A Swox é uma rede social de última geração para o espaço Web3. A KlastAI está intimamente ligada às contas e sites da Pollens, que possuem a mesma identidade visual.

A Wasper utiliza os mesmos logotipos e código do GitHub que a Pollens em diversas áreas. A Lunelior opera através de vários websites, atendendo a diferentes grupos de usuários específicos. A BeeSync operava anteriormente sob o pseudônimo Buzzu, antes de sua reformulação de marca em janeiro de 2025.

A Slax hospeda sites focados em mídias sociais e inteligência artificial em múltiplos sites. A Solune alcança usuários por meio da atividade em plataformas de mídias sociais e do uso de aplicativos de mensagens. A Eternal Decay é uma empresa de jogos em blockchain com apresentações sintéticas em conferências.

A Dexis tem a mesma marca que a Swox e compartilha a mesma base de usuários. A NexVoo possui múltiplos domínios e gerenciamento de plataformas de mídia social. A NexLoop mudou de nome para NexoraCore ao renomear seus repositórios do GitHub.

A YondaAI tem como alvo usuários de redes sociais e diversos domínios de sites. Cada empresa possui uma presença profissional por meio de procedimentos de integração com plataformas reais. O grupo de tráfego CrazyEvil opera campanhas desse tipo desde 2021.

A Recorded Future estima que o CrazyEvil fature milhões com atividades maliciosas. O grupo é apontado como responsável por ataques contra usuários de criptomoedas, influenciadores e profissionais DeFi . As campanhas demonstram um grande esforço para criar uma aparência de negócios legítimos.