偽の暗号資産スタートアップがソーシャルメディアを利用してウォレットを盗むマルウェアを広める

2025-07-10 16:34:16

ホームニュース* サイバー犯罪者は、マルウェアを配布するために偽のスタートアップ企業を利用して暗号通貨ユーザーを標的にしています。

このキャンペーンは、リアルなウェブサイト、ソーシャルメディアアカウント、およびプロフェッショナルに見えるドキュメントを使用して、合法的に見えるようにしています。
攻撃者は、X、Telegram、Discordなどのプラットフォーム上でAI、ゲーム、Web3企業を偽装します。
マルウェアはWindowsとmacOSの両方に影響を与え、暗号財布のデータや個人情報を盗みます。
被害者は、暗号通貨決済の新しいソフトウェアをテストするというオファーに誘われ、その結果、資産が盗まれます。高度なサイバー犯罪キャンペーンが暗号通貨ユーザーを標的にしており、新しいテクノロジー企業を装って、正当なソフトウェアに偽装されたマルウェアをダウンロードさせるように騙しています。この詐欺的なスキームは、WindowsおよびmacOSのユーザーに影響を与え、被害者がさまざまなソーシャルメディアプラットフォームで偽の企業とやり取りするように説得することでデジタル資産を盗むことを目的としています。

広告 - ダークトレースの研究者タラ・グールドによって詳述されたこの操作は、NotionやGitHubなどの信頼できるサイトにホストされた偽アカウントとプロジェクト資料を使用します。攻撃者は特に人工知能、ゲーム、Web3のテーマに焦点を当てています。*「これらの悪意のある操作は、NotionやGitHubのような正当なプラットフォームにホストされた偽のソーシャルメディアアカウントとプロジェクト文書を使用して、AI、ゲーム、Web3企業を偽装します。」*とグールドは報告しました。このキャンペーンは少なくとも2024年3月から活動しており、2025年7月まで目立った活動が続いています。

攻撃者は、実際の企業や従業員にリンクされた確認済みおよび侵害された Xアカウント を頻繁に使用し、彼らの偽ブランドを潜在的な被害者に対してより信頼性のあるものに見せかけています。グールドは次のように指摘しました。「彼らは、X、Medium、GitHub、Notionなどのソフトウェア企業で頻繁に使用されるサイトを利用しています。各企業は、従業員、製品ブログ、ホワイトペーパー、ロードマップを含むプロフェッショナルな外観のウェブサイトを持っています。」

関係する架空の企業には、Eternal Decay、BeeSync、Buzzu、Cloudsign、Dexis、KlastAI、Lunelior、NexLoop、NexoraCore、NexVoo、Pollens AI、Slax、Solune、Swox、Wasper、YondaAIなどがあります。攻撃者はダイレクトメッセージでターゲットに接近し、製品のテストのために暗号通貨での支払いを提供します。被害者が従うと、被害者は細工されたWebサイトに送られ、有害なアプリケーションをダウンロードします。

Windowsでは、偽のアプリがユーザーのマシンをプロファイリングし、情報泥棒として機能すると考えられているインストーラーを実行します。macOSでは、Atomic macOS Stealer (AMOS)として知られるマルウェアが文書、ブラウザデータ、暗号ウォレット情報を収集します。このインストーラーは永続性も設定し、コンピュータが再起動するたびに悪意のあるアプリケーションが再起動します。

Darktraceによると、この戦術は「Meeten」という名前で特定された以前の詐欺に似ており、「Crazy Evil」のような脅威グループに関連しています。彼らは同様のマルウェアを使用しています。このキャンペーンは、暗号通貨投資家を狙って詐欺を働くために使用される戦術の複雑さが進化し続けていることを示しています。

キャンペーンとその手法に関する詳細は、完全なDarktraceレポートを参照してください。永続性に関する技術的概要は、AppleのLaunch Agentドキュメントで見つけることができます。