Главная страница » Индикаторы компрометации
0
18 часов
Индикаторы компрометации

Мошенники продолжают красть криптовалютные кошельки через сложные схемы в соцсетях

information security

Новое исследование компании Darktrace показало, что злоумышленники активно используют социальную инженерию для кражи средств криптовалютных пользователей. Они создают поддельные стартапы, имитируя деятельность компаний в сфере искусственного интеллекта, игр и Web3, а для убедительности используют скомпрометированные аккаунты в соцсетях и размещают поддельную документацию на популярных платформах, таких как Notion и GitHub.

Описание

Аналитики Darktrace установили, что эта схема действует уже несколько месяцев. В декабре 2024 года Cado Security Labs сообщали о подобной атаке под названием Meeten, в рамках которой злоумышленники представлялись сотрудниками видеоконференц-сервисов, заставляя жертв устанавливать вредоносное ПО. Оказалось, что преступники не прекратили свою деятельность и продолжают обманывать пользователей, вынуждая их загружать программы для кражи криптовалютных активов.

Преступники тщательно продумывают свои атаки, создавая видимость легальных компаний. Они используют скомпрометированные аккаунты в X (бывший Twitter), включая верифицированные, чтобы убедить жертв в своей надежности. Кроме того, для имитации реальной деятельности организаций злоумышленники публикуют посты о «разработке» продукта, размещают фальшивые дорожные карты проектов и даже используют украденные изображения с конференций, выдавая их за свои.

Один из примеров - фейковая компания Eternal Decay, якобы занимающаяся блокчейн-играми. Ее создатели украли изображения из другой игры, редактировали их и публиковали в соцсетях, чтобы создать впечатление реального проекта. Также они использовали Gitbook для размещения информации о «компании», включая фальшивые данные о регистрации и инвесторах.

Для привлечения жертв мошенники связываются с ними через X, Telegram или Discord, предлагая протестировать их ПО в обмен на криптовалютное вознаграждение. После этого пользователя направляют на поддельный сайт, где он должен ввести регистрационный код и скачать вредоносное приложение. В зависимости от операционной системы жертве предлагают загрузить версию для macOS или Windows.

Windows-версия вредоноса

Вредоносная программа для Windows построена на базе Electron - фреймворка для запуска JavaScript-приложений на ПК. После запуска пользователь видит экран проверки Cloudflare, но на самом деле в этот момент происходит сбор данных о системе, включая имя пользователя, параметры процессора, объем оперативной памяти и MAC-адрес. Далее зловред загружает дополнительные исполняемые файлы и использует Python для взаимодействия с сервером управления.

Одна из особенностей этой кампании - применение украденных сертификатов цифровой подписи для маскировки под легальное ПО. В частности, были обнаружены сертификаты компаний Jiangyin Fengyuan Electronics Co., Ltd. и Paperbucketmdb ApS (отозван в июне 2025 года). Это помогает злоумышленникам обходить защитные механизмы и выглядеть более убедительно.

Версия для macOS

Если жертва использует Mac, ей предлагают скачать DMG-файл, содержащий обфусцированный bash-скрипт и вредоносный бинарный файл. После расшифровки скрипт перемещает скрытый исполняемый файл в систему и делает его активным.

Основная вредоносная нагрузка - это Atomic Stealer, макропрограмма, которая ворует данные браузеров, криптокошельки, куки и документы. Украденная информация упаковывается в архив и отправляется на сервер злоумышленников. Кроме того, преступники устанавливают механизмы персистентности, чтобы вредонос оставался в системе даже после перезагрузки.

Эта кампания демонстрирует, насколько изощренными стали современные киберпреступники. Они не только используют сложные технические методы, но и тратят значительные усилия на создание правдоподобной легенды, чтобы жертвы не сомневались в легальности предложений. Пользователям криптовалют следует быть особенно осторожными: проверять источники, избегать загрузки подозрительных файлов и никому не передавать приватные ключи от кошельков.

Индикаторы компрометации

IPv4 Port Combinations

  • 77.73.129.18:80

Domains

  • Aceartist.com
  • Bigpinellas.com
  • Buzzu.space
  • Conceptwo.com
  • Dsandbox.com
  • Ekodirect.com
  • Manboon.com
  • pollens.tech
  • Troveur.com
  • turismoelcasco.com

URLs

  • 45.94.47.167/contact
  • http://45.94.47.112/contact
  • https://gaetanorealty.com
  • https://isnimitz.com/zxc/app.zip
  • https://mrajhhosdoahjsd.com

MD5

  • 02a5b35be82c59c55322d2800b0b8ccc
  • 22b2ea96be9d65006148ecbb6979eccc
  • 3a3b13de4406d1ac13861018d74bf4b2
  • 558889183097d9a991cb2c71b7da3c51
  • 74654e6e5f57a028ee70f015ef3a44a4
  • 7d70a7e5661f9593568c64938e06a11a
  • a4786af0c4ffc84ff193ff2ecbb564b8
  • be0e3e1e9a3fda76a77e8c5743dd2ced
  • d50393ba7d63e92d23ec7d15716c7be6
  • d723162f9197f7a548ca94802df74101

SHA256

  • 81996a20cfa56077a3bb69487cc58405ced79629d0c09c94fb21ba7e5f1a24c9
Комментарии: 0
Похожие записи
0
20.01.2025
Индикаторы компрометации

Попытка захвата учетной записи M365, направленную на компанию, работающую в производственной сфере.

phishing
Darktrace сообщает о фишинговой атаке на компанию из производственной сферы, в ходе которой злоумышленник получил доступ к учетной записи M365 через SaaS-платформу.
0
24.05.2025
Индикаторы компрометации

FlowerStorm: Новая платформа для фишинга атакует Microsoft 365, обходя MFA

phishing
Исследователи кибербезопасности обнаружили активность новой платформы для организации фишинговых атак под названием FlowerStorm. Этот сервис, работающий по модели "фишинг как услуга" (PhaaS), использует