Darktrace попереджає про шахрайства в соціальних мережах, що використовують шкідливі програми для крадіжки криптовалюти

Дослідники з компанії з кібербезпеки Darktrace попередили, що зловмисники використовують дедалі більш складні тактики соціальної інженерії, щоб інфікувати жертв шкідливими програмами для крадіжки криптовалюти.

У своєму останньому блозі дослідники Darktrace детально описали складну кампанію, в якій шахраї видавали себе за стартапи в галузі ШІ, ігор та Web3, щоб обманом змусити користувачів завантажувати шкідливі програми.

Схема покладається на перевірені та скомпрометовані X облікові записи, а також на документацію проекти, розміщену на легітимних платформах, щоб створити ілюзію легітимності.

Згідно з доповіддю, кампанія зазвичай починається з того, що особи, які видають себе за інших, виходять на потенційних жертв у X, Telegram або Discord. Вдаючись до представників нових стартапів, вони пропонують стимули, такі як виплати у криптовалюті в обмін на тестування програмного забезпечення.

Жертви потім перенаправляються на вишукані веб-сайти компаній, створені для того, щоб імітувати легітимні стартапи, з повними білішими, дорожніми картами, записами GitHub і навіть фальшивими магазинами товарів.

Як тільки ціль завантажує шкідливу програму, з'являється екран перевірки Cloudflare, під час якого шкідливі програми тихо збирають інформацію про систему, таку як деталі ЦП, MAC-адресу та ідентифікатор користувача. Ця інформація, разом з токеном CAPTCHA, надсилається на сервер атаки для визначення того, чи є система життєздатною ціллю.

Якщо перевірка пройде успішно, другий етап завантаження, зазвичай шкідливі програми для крадіжки інформації, непомітно доставляється, що потім витягує чутливі дані, включаючи облікові дані гаманця криптовалюти.

Виявлено обидві версії шкідливих програм для Windows та macOS, причому деякі варіанти Windows відомі тим, що використовують сертифікати підпису коду, вкрадені у законних компаній.

Згідно з Darktrace, кампанія нагадує тактики, які використовують групи "traffer", що є кіберзлочинними мережами, які спеціалізуються на створенні шкідливих програм через обманний контент та маніпуляцію в соціальних мережах.

Хоча зловмисники залишаються невідомими, дослідники вважають, що методи, які використовуються, відповідають тим, що спостерігалися в кампаніях, приписаних CrazyEvil, групі, відомій своєю націленістю на криптовалютні спільноти.

«CrazyEvil та їх підкоманди створюють фальшиві програмні компанії, подібні до тих, що описані в цьому блозі, використовуючи Twitter та Medium для націлювання на жертв», - написала Darktrace, додавши, що група, як оцінюється, заробила «мільйони доларів доходу від їх шкідливої діяльності».

Повторювана загроза

Подібні шкідливі програми кампанії були виявлені неодноразово протягом цього року, при цьому одна операція, пов'язана з Північною Кореєю, була виявлена, коли використовувала фальшиві оновлення Zoom для компрометації пристроїв macOS у криптофірмах.

Згідно з повідомленнями, зловмисники використовували новий штам шкідливих програм під назвою "NimDoor", який доставлявся через шкідливе оновлення SDK. Багатоступеневий вантаж був розроблений для витягування облікових даних гаманця, даних браузера та зашифрованих файлів Telegram, при цьому підтримуючи стійкість у системі.

У іншому випадку, infamous північнокорейська хакерська група Lazarus була виявлена, коли видавала себе за рекрутерів, щоб націлитися на нічого не підозрюючих професіоналів, використовуючи нову шкідливу програму під назвою "OtterCookie", яка була розгорнута під час фальшивих співбесід.

На початку цього року окреме дослідження, проведене блокчейн-форенсичною компанією Merkle Science, виявило, що шахрайства з соціальною інженерією в основному націлені на знаменитостей і технічних лідерів через зламані акаунти X.