Фейковые стартапы в сфере ИИ и Web3 обманывают пользователей криптовалют, заставляя их скачивать вредоносное ПО через элегантные веб-сайты, взломанные аккаунты в X и фальшивые обращения от сотрудников.
Выявлены десятки поддельных брендов, таких как Swox и Eternal Decay. Многие из них используют изменённый медиаконтент и скопированный код.
Кампания во многом повторяет тактику, используемую группой трафферов CrazyEvil, известной атаками на сообщества криптовалют и DeFi.
Согласно новым данным компании Darktrace, широко распространённая киберпреступная кампания вводит пользователей в заблуждение, заставляя их устанавливать вредоносное ПО, замаскированное под продукты фейковых ИИ и Web3-стартапов.
Злоумышленники создают фиктивные компании с кажущимися легитимными цифровыми следами — с веб-сайтами, официальными документами и верифицированными аккаунтами в X (ранее Twitter), чтобы завоевать доверие и обмануть пользователей.
Жертв обычно контактируют через X, Telegram или Discord лица, выдающие себя за сотрудников этих поддельных стартапов. Им предлагают «протестировать» ранние версии программного обеспечения в обмен на криптовалюту, что приводит к загрузке заражённых файлов через веб-сайт поддельной компании с использованием регистрационного кода.
Механика вредоносного ПО
После загрузки версия для Windows запускает проверку в стиле Cloudflare, а затем незаметно запускает установщик MSI, который извлекает подробную информацию о системе и устанавливает вредоносное ПО для кражи информации. Эти приложения часто подписываются с использованием украденных сертификатов реальных компаний, таких как Jiangyin Fengyuan Electronics и Paperbucketmdb ApS.
На macOS поддельный файл DMG устанавливает версию Atomic Stealer, который сканирует данные браузера, файлы cookie, документы и учётные данные криптовалютных кошельков. Украденные данные сжимаются и отправляются на удалённый сервер. Механизмы сохранения также устанавливаются через macOS Launch Agents, обеспечивая перезапуск вредоносного ПО при входе в систему.
Компания Darktrace выявила множество поддельных брендов, включая Pollens AI, Swox, Wasper, Lunelior и Eternal Decay — последний публиковал поддельные фотографии с конференций и игровой контент, украденный из несвязанных игр.
Хотя атрибуция остаётся неопределённой, тактика напоминает методы известной группы трафферов CrazyEvil — киберпреступной группировки, ранее задокументированной как заработавшей миллионы с помощью аналогичных схем социальной инженерии и вредоносного ПО, нацеленных на пользователей криптовалют и профессионалов DeFi. Трафферы — это киберпреступники, которые специализируются на привлечении трафика к загрузкам, заражённым вредоносным ПО, для кражи пользовательских данных.
Создавая видимость легитимных бизнес-структур и взламывая доверенные социальные платформы, злоумышленники создали высокоэффективный метод кражи криптовалюты в системах Windows и Mac.
Не является инвестиционной рекомендацией.