Cryptocurrency -gebruikers zijn het doelwit van een voortdurende social engineeringcampagne die nep -startende bedrijven in dienst heeft om gebruikers te misleiden om malware te downloaden die digitale activa van zowel Windows- als MacOS -systemen kan aftappen.
“Deze kwaadaardige operaties doen zich voor als AI-, gaming- en Web3 -bedrijven met behulp van spoofed sociale media -accounts en projectdocumentatie georganiseerd op legitieme platforms zoals Notion en GitHub,” zei Darktrace -onderzoeker Tara Gould in een rapport dat wordt gedeeld met het Hacker News.
De uitgebreide zwendel op sociale media is nu al een tijdje, met een eerdere iteratie in december 2024 met behulp van nep -videoconferentplatforms om slachtoffers te duPe om deel te nemen aan een vergadering onder het voorwendsel om een investeringsmogelijkheid te bespreken nadat ze hen heb benaderd op berichten -apps zoals Telegram.
Gebruikers die uiteindelijk de vermeende vergadersoftware downloaden, werden heimelijk besmet door Stealer Malware zoals Realst. De campagne was Codenaam Meeten door Cado Security (die eerder dit jaar door DarkTrace werd overgenomen) in verwijzing naar een van de nep -videoconferentieservices.
Dat gezegd hebbende, er zijn aanwijzingen dat de activiteit mogelijk aan de gang is geweest sinds minstens maart 2024, toen JAMF Threat Labs het gebruik van een domein met de naam “Meethub (.) GG” onthulde om Realst te leveren.
De nieuwste bevindingen uit DarkTrace laten zien dat de campagne niet alleen nog steeds een actieve bedreiging blijft, maar ook een breder scala aan thema’s heeft aangenomen met betrekking tot kunstmatige intelligentie, gaming, web3 en sociale media.
Bovendien zijn de aanvallers waargenomen die zijn aangetaste gecompromitteerde X -accounts die verband houden met bedrijven en werknemers, voornamelijk die welke worden geverifieerd, om potentiële doelen te benaderen en hun nepbedrijven een illusie van legitimiteit te geven.
“Ze maken gebruik van sites die vaak worden gebruikt met softwarebedrijven zoals X, Medium, GitHub en Notion,” zei Gould. “Elk bedrijf heeft een professioneel uitziende website met werknemers, productblogs, whitepapers en routekaarten.”
Een dergelijk niet-bestaand bedrijf is Eternal Decay (@metaversedecay), dat beweert een blockchain-aangedreven spel te zijn en digitaal gewijzigde versies van legitieme foto’s op X heeft gedeeld om de indruk te geven dat ze op verschillende conferenties presenteren. Het einddoel is om een online aanwezigheid op te bouwen die deze bedrijven zo echt mogelijk laat lijken en de kans op infectie vergroot.
Sommige van de andere geïdentificeerde bedrijven worden hieronder vermeld –
- Beesync (x accounts: @beesyncai, @aibeesync)
- Buzzu (x accounts: @buzzuapp, @AI_BUZZU, @appbuzzu, @buzzuapp)
- Cloudsign (x Account: @cloudsignApp)
- Dexis (x Account: @dexisapp)
- Klastai (X Account: links naar de X -account van Pollens AI)
- Lunelior
- NexLoop (X Account: @nexLoopSpace)
- Nexoracore
- Nexvoo (x Account: @nexvoospace)
- Pollens AI (X Accounts: @PollensApp, @Pollens_App)
- SLAX (X Accounts: @SlaxApp, @Slax_App, @SlaxProject)
- Solune (x Account: @soluneapp)
- SWOX (X Accounts: @swoxapp, @swox_ai, @swox_app, @app_swox, @appswox, @swoxproject, @projectswox)
- Wasper (X -accounts: @wasperai, @wasperspace)
- Yondaai (x Account: @yondaspace)
De aanvalsketens beginnen wanneer een van deze tegen tegenstanders gecontroleerde accounts een slachtoffer berichten via X, Telegram of Discord, die hen aanspoort om hun software te testen in ruil voor een cryptocurrency-betaling.
Als de doelstelling akkoord gaat met de test, worden ze omgeleid naar een fictieve website van waaruit ze worden gepromoveerd om een registratiecode in te voeren die door de werknemer wordt verstrekt om een Windows Electron -applicatie of een Apple Disk Image (DMG) -bestand te downloaden, afhankelijk van het gebruikte besturingssysteem.
Op Windows Systems geeft het openen van de kwaadaardige applicatie een CloudFlare -verificatiescherm weer aan het slachtoffer, terwijl deze de machine heimelijk profileert en een MSI -installatieprogramma wordt gedownload en uitgevoerd. Hoewel de exacte aard van de payload onduidelijk is, wordt aangenomen dat een informatietaaler in dit stadium wordt uitgevoerd.
De macOS -versie van de aanval leidt daarentegen tot de inzet van de Atomic MacOS Stealer (AMOS), een bekende infostealer -malware die documenten kan overhangen, evenals gegevens van webbrowsers en crypto -portefeuilles, en de details naar externe server te exfiltreren.
Het DMG -binair is ook uitgerust om een shell -script op te halen dat verantwoordelijk is voor het instellen van persistentie op het systeem met behulp van een startagent om ervoor te zorgen dat de app automatisch begint bij het inloggen van de gebruikers. Het script haalt ook op en voert een objectief-C/SWIFT-binair af dat de tijdstempels voor het gebruik van applicaties en gebruikersinteractie registreert en ze naar een externe server verzendt.
DarkTrace merkte ook op dat de campagne tactische overeenkomsten deelt met die georkestreerd door een Traffers -groep genaamd Crazy Evil die bekend staat om slachtoffers te dupimeren om malware zoals Stealc, Amos en Angel Drainer te installeren.
“Hoewel het onduidelijk is of de campagnes (…) kunnen worden toegeschreven aan Crazyevil of Sub -teams, zijn de beschreven technieken vergelijkbaar van aard,” zei Gould. “Deze campagne benadrukt de inspanningen die dreigingsactoren zullen gaan om deze nepbedrijven er legitiem uit te laten zien om cryptocurrency van slachtoffers te stelen, naast het gebruik van nieuwere ontwijkende versies van malware.”
