Новое исследование компании Darktrace показало, что злоумышленники активно используют социальную инженерию для кражи средств криптовалютных пользователей. Они создают поддельные стартапы, имитируя деятельность компаний в сфере искусственного интеллекта, игр и Web3, а для убедительности используют скомпрометированные аккаунты в соцсетях и размещают поддельную документацию на популярных платформах, таких как Notion и GitHub.
Описание
Аналитики Darktrace установили, что эта схема действует уже несколько месяцев. В декабре 2024 года Cado Security Labs сообщали о подобной атаке под названием Meeten, в рамках которой злоумышленники представлялись сотрудниками видеоконференц-сервисов, заставляя жертв устанавливать вредоносное ПО. Оказалось, что преступники не прекратили свою деятельность и продолжают обманывать пользователей, вынуждая их загружать программы для кражи криптовалютных активов.
Преступники тщательно продумывают свои атаки, создавая видимость легальных компаний. Они используют скомпрометированные аккаунты в X (бывший Twitter), включая верифицированные, чтобы убедить жертв в своей надежности. Кроме того, для имитации реальной деятельности организаций злоумышленники публикуют посты о «разработке» продукта, размещают фальшивые дорожные карты проектов и даже используют украденные изображения с конференций, выдавая их за свои.
Один из примеров - фейковая компания Eternal Decay, якобы занимающаяся блокчейн-играми. Ее создатели украли изображения из другой игры, редактировали их и публиковали в соцсетях, чтобы создать впечатление реального проекта. Также они использовали Gitbook для размещения информации о «компании», включая фальшивые данные о регистрации и инвесторах.
Для привлечения жертв мошенники связываются с ними через X, Telegram или Discord, предлагая протестировать их ПО в обмен на криптовалютное вознаграждение. После этого пользователя направляют на поддельный сайт, где он должен ввести регистрационный код и скачать вредоносное приложение. В зависимости от операционной системы жертве предлагают загрузить версию для macOS или Windows.
Windows-версия вредоноса
Вредоносная программа для Windows построена на базе Electron - фреймворка для запуска JavaScript-приложений на ПК. После запуска пользователь видит экран проверки Cloudflare, но на самом деле в этот момент происходит сбор данных о системе, включая имя пользователя, параметры процессора, объем оперативной памяти и MAC-адрес. Далее зловред загружает дополнительные исполняемые файлы и использует Python для взаимодействия с сервером управления.
Одна из особенностей этой кампании - применение украденных сертификатов цифровой подписи для маскировки под легальное ПО. В частности, были обнаружены сертификаты компаний Jiangyin Fengyuan Electronics Co., Ltd. и Paperbucketmdb ApS (отозван в июне 2025 года). Это помогает злоумышленникам обходить защитные механизмы и выглядеть более убедительно.
Версия для macOS
Если жертва использует Mac, ей предлагают скачать DMG-файл, содержащий обфусцированный bash-скрипт и вредоносный бинарный файл. После расшифровки скрипт перемещает скрытый исполняемый файл в систему и делает его активным.
Основная вредоносная нагрузка - это Atomic Stealer, макропрограмма, которая ворует данные браузеров, криптокошельки, куки и документы. Украденная информация упаковывается в архив и отправляется на сервер злоумышленников. Кроме того, преступники устанавливают механизмы персистентности, чтобы вредонос оставался в системе даже после перезагрузки.
Эта кампания демонстрирует, насколько изощренными стали современные киберпреступники. Они не только используют сложные технические методы, но и тратят значительные усилия на создание правдоподобной легенды, чтобы жертвы не сомневались в легальности предложений. Пользователям криптовалют следует быть особенно осторожными: проверять источники, избегать загрузки подозрительных файлов и никому не передавать приватные ключи от кошельков.
Индикаторы компрометации
IPv4 Port Combinations
- 77.73.129.18:80
Domains
- Aceartist.com
- Bigpinellas.com
- Buzzu.space
- Conceptwo.com
- Dsandbox.com
- Ekodirect.com
- Manboon.com
- pollens.tech
- Troveur.com
- turismoelcasco.com
URLs
- 45.94.47.167/contact
- http://45.94.47.112/contact
- https://gaetanorealty.com
- https://isnimitz.com/zxc/app.zip
- https://mrajhhosdoahjsd.com
MD5
- 02a5b35be82c59c55322d2800b0b8ccc
- 22b2ea96be9d65006148ecbb6979eccc
- 3a3b13de4406d1ac13861018d74bf4b2
- 558889183097d9a991cb2c71b7da3c51
- 74654e6e5f57a028ee70f015ef3a44a4
- 7d70a7e5661f9593568c64938e06a11a
- a4786af0c4ffc84ff193ff2ecbb564b8
- be0e3e1e9a3fda76a77e8c5743dd2ced
- d50393ba7d63e92d23ec7d15716c7be6
- d723162f9197f7a548ca94802df74101
SHA256
- 81996a20cfa56077a3bb69487cc58405ced79629d0c09c94fb21ba7e5f1a24c9