Исследование Darktracвыявило продолжающуюся кампанию социальной инженерии, направленную на пользователей криптовалют с помощью поддельных стартапов. Мошенники выдают себя за компании, занимающиеся искусственным интеллектом, играми и Web3, используя поддельные аккаунты в социальных сетях.
Проектная документация размещается на легитимных платформах, таких как Notion и GitHub. Кампания продолжает меняться с декабря 2024 года и ориентирована на сотрудников Web3 по всему миру.
Фальшивые компании используют легитимные платформы для создания убедительного имиджа
Злоумышленники создают поддельные стартапы, используя темы искусственного интеллекта, игр и программного обеспечения для видеоконференций. Фасады компаний, работающих в сфере Web3 и социальных сетей, помогают целенаправленно воздействовать на пользователей криптовалют. В этих операциях используются взломанные учетные записи, как правило, с подтверждением, для связи с жертвами.
Злоумышленники используют легитимные платформы, такие как Notion, Medium и GitHub, для создания документации. Профессионально выглядящие веб-сайты включают профили сотрудников, блоги о продуктах, технические документы и планы развития. Учетные записи X выглядят скомпрометированными, с большим количеством подписчиков, что усиливает видимость легитимности.
Мошенники , публикуя обновления о разработке программного обеспечения. Регулярно распространяется маркетинговый контент, а кампании проводятся на разных платформах. В блокчейн-игре Eternal Decay для большей убедительности были созданы поддельные фотографии с конференций.
Злоумышленники даже изменили фотографии с итальянских выставок, выдав их за презентации компаний. На Medium размещены посты в блоге о поддельных программных продуктах и разработках компаний. Notion содержит подробные планы развития продуктов и исчерпывающую информацию о сотрудниках.
В репозиториях GitHub используются технические аспекты программного обеспечения, заимствованные из проектов с открытым исходным кодом. Кодовые имена изменяются, чтобы репозитории выглядели уникальными и оригинальными. Информация о регистрации компании в Companies House связывается с компаниями с похожими названиями.
Gitbook предоставляет подробную информацию о компаниях и перечисляет фиктивные партнерские отношения с инвесторами для повышения доверия. Изображения игрового процесса, украденные из игры , выдаются за контент Eternal Decay. Некоторые фиктивные компании открывают магазины товаров, чтобы создать видимость успешной работы.
Эти элементы в совокупности создают убедительный имидж стартап-компании, повышая вероятность успешного заражения. Жертвы получают сообщения от сотрудников через X-Messages, Telegram или Discord. Фальшивые работники предлагают оплату в криптовалюте за участие в тестировании программного обеспечения.
Вредоносная программа, нацеленная на пользователей криптовалютных кошельков как под управлением Windows, так и macOS
Версии для Windows распространяются через приложенияtron , которые требуют регистрационные коды от сотрудников, выдающих себя за других. Пользователи загружают файлы после ввода кодов, полученных через сообщения в социальных сетях. Перед запуском вредоносного ПО на целевых системах отображаются экраны проверки CloudFlare.
Вредоносная программа собирает системные профили, включая имена пользователей, данные о процессоре, оперативной памяти и видеокарте. MAC-адреса и системные UUID собираются на этапах предварительной разведки. Механизмы аутентификации на основе токенов используют токены, полученные из URL-адресов запуска приложений.
Украденные сертификаты для подписи кода повышают легитимность программного обеспечения и позволяют избежать обнаружения системой безопасности. Использовались сертификаты таких компаний, как Jiangyin FengyuantronCo. и Paperbucketmdb ApS. Python извлекается и сохраняется во временных каталогах для выполнения команд.
Дистрибутивы macOS выпускаются в виде DMG-файлов, содержащих bash-скрипты и исполняемые файлы. Скрипты используют методы обфускации, такие как кодирование base64 и XOR-шифрование. AppleScriptmaticмонтирует вредоносное ПО и запускает исполняемые файлы из временных каталогов.
Вредоносная программа для macOS выполняет проверки на устойчивость к анализу в средах QEMU, VMWare и Docker. Atomic Stealer нацелен на данные браузера, криптовалютные кошельки, cookie-файлы и документы. Украденные данные сжимаются и отправляются на серверы посредством POST-запросов.
Дополнительные bash-скрипты обеспечивают постоянное присутствие вредоносного ПО через настройки Launch Agent при входе в систему. Вредоносная программа непрерывно регистрирует использование активных приложений и информацию об окнах. Временные метки взаимодействия пользователя записываются и периодически передаются на серверы сбора данных.
Обе версии нацелены на кражу данных криптовалютных кошельков. Множество поддельных компаний распространяютdentвредоносные программы, отличающиеся лишь брендингом и тематикой.
Обширный список фейковых компаний,dentмной на различных платформах
Darktracвыявил несколько фиктивных компаний, проводивших эту кампанию социальной инженерии. Pollens AI имитирует инструменты для совместного создания контента, используя учетные записи X и другие веб-сайты. Buzzu использует те же логотипы и код, что и Pollens, но работает под другим брендом.
Сообщается, что Cloudsign предоставляет услуги платформы для подписания документов корпоративным клиентам. Swox — это социальная сеть нового поколения в пространстве Web3. KlastAI тесно связана с аккаунтами и сайтами Pollens, имеющими ту же фирменную символику.
Wasper использует те же логотипы и код GitHub, что и Pollens, в различных областях. Lunelior работает через различные веб-сайты, обслуживая конкретные группы пользователей. BeeSync ранее работал под псевдонимом Buzzu до ребрендинга в январе 2025 года.
Slax размещает сайты, посвященные социальным сетям и искусственному интеллекту, на нескольких веб-сайтах. Solune взаимодействует с пользователями через активность в социальных сетях и использование мессенджеров. Eternal Decay — это компания, занимающаяся блокчейн-играми, которая проводит презентации на конференциях с использованием синтетических технологий.
Dexis имеет тот же бренд, что и Swox, и использует ту же пользовательскую базу. NexVoo имеет несколько доменов и управляет платформами социальных сетей. NexLoop провел ребрендинг и стал NexoraCore, переименовав репозитории GitHub.
YondaAI ориентируется на пользователей социальных сетей и различных веб-сайтов. Каждый бизнес имеет профессиональный имидж благодаря реальным процедурам интеграции платформ. Группа CrazyEvil, занимающаяся привлечением трафика, проводит подобные кампании с 2021 года.
Recorded Future оценивает миллионный доход CrazyEvil от вредоносной деятельности. Утверждается, что эта группа стоит за атаками на криптопользователей, влиятельных лиц и специалистов DeFi . Кампании демонстрируют значительные усилия по созданию видимости легитимного бизнеса.
