Darktrace предупреждает о мошенничестве с социальной инженерией, использующем вредоносные программы для кражи криптовалюты

Исследователи кибербезопасности компании Darktrace предупредили, что злоумышленники используют все более сложные тактики социального инжиниринга, чтобы заразить жертв вредоносными программами для кражи криптовалюты.

В своем последнем блоге исследователи Darktrace подробно описали сложную кампанию, в которой мошенники выдавали себя за стартапы в области ИИ, игр и Web3, чтобы обмануть пользователей и заставить их загрузить вредоносные программы.

Схема опирается на проверенные и скомпрометированные X аккаунты, а также на документацию проектов, размещенную на легитимных платформах, чтобы создать иллюзию законности.

Согласно отчету, кампания обычно начинается с того, что злоумышленники обращаются к потенциальным жертвам в X, Telegram или Discord. Выдавая себя за представителей новых стартапов, они предлагают стимулы, такие как платежи в криптовалюте, в обмен на тестирование программного обеспечения.

Жертвы затем направляются на продуманные веб-сайты компаний, созданные для имитации легитимных стартапов, с полными белыми книгами, дорожными картами, записями на GitHub и даже поддельными магазинами товаров.

Как только цель загружает вредоносное приложение, появляется экран проверки Cloudflare, во время которого вредоносные программы тихо собирают информацию о системе, такую как детали ЦП, MAC-адрес и идентификатор пользователя. Эта информация, вместе с токеном CAPTCHA, отправляется на сервер злоумышленника для определения, является ли система жизнеспособной целью.

Если верификация проходит успешно, на втором этапе скрытно доставляется полезная нагрузка, обычно представляющая собой крадущую информацию, которая затем извлекает чувствительные данные, включая учетные данные криптовалютного кошелька.

Обнаружены версии вредоносных программ как для Windows, так и для macOS, при этом некоторые варианты для Windows известны тем, что используют сертификаты цифровой подписи, украденные у легитимных компаний.

Согласно Darktrace, кампания напоминает тактики, используемые группами "traffer", которые являются киберпреступными сетями, специализирующимися на создании установок вредоносных программ через обманчивый контент и манипуляцию в социальных сетях.

Хотя злоумышленники остаются неопознанными, исследователи считают, что методы, используемые ими, соответствуют тем, которые наблюдаются в кампаниях, приписываемых CrazyEvil, группе, известной своими атаками на криптовалютные сообщества.

«CrazyEvil и их подгруппы создают фальшивые программные компании, подобные тем, что описаны в этом блоге, используя Twitter и Medium для нацеливания на жертв», – написала Darktrace, добавив, что группа, по оценкам, заработала «миллионы долларов» на своей вредоносной деятельности.

Повторяющаяся угроза

В этом году несколько раз были зафиксированы аналогичные кампании с вредоносными программами, при этом одна операция, связанная с Северной Кореей, использовала поддельные обновления Zoom для компрометации устройств macOS в крипто-компаниях.

Сообщается, что злоумышленники развернули новую вредоносную программу под названием "NimDoor", доставляемую через вредоносное обновление SDK. Многоступенчатая нагрузка была разработана для извлечения учетных данных кошелька, данных браузера и зашифрованных файлов Telegram, обеспечивая при этом постоянное присутствие в системе.

В другом случае, печально известная хакерская группа Северной Кореи Lazarus была обнаружена, когда она выдавала себя за рекрутеров, чтобы нацелиться на ничего не подозревающих профессионалов, используя новую вредоносную программу под названием "OtterCookie", которая была развернута во время поддельных собеседований.

Ранее в этом году отдельное исследование, проведенное блокчейн-экспертной фирмой Merkle Science, показало, что мошеннические схемы социальной инженерии в основном нацелены на знаменитостей и технологических лидеров через взломанные аккаунты X.