Las startups falsas apuntan a usuarios de criptografía, infiltrando sus billeteras

DarktracE Research revela una campaña continua de ingeniería social dirigida a usuarios criptográficos a través de compañías de inicio falsas. Los estafadores se hacen pasar por las empresas de IA, juegos y Web3 utilizando cuentas de redes sociales falsificadas.

La documentación del proyecto se aloja en plataformas legítimas como noción y github. La campaña continúa cambiando desde diciembre de 2024 dirigida a los empleados de Web3 a nivel mundial.

Las empresas falsas usan plataformas legítimas para construir una presencia creíble

Los actores de amenaza crean empresas de inicio falsas con IA, juegos, temas de software para reuniones de video. Web3 y las fachadas de la compañía de redes sociales ayudan a los usuarios de criptomonedas específicamente a los usuarios de criptomonedas. Estas operaciones utilizan cuentas X comprometidas típicamente con verificación para contactar a las víctimas.

Los atacantes usan plataformas legítimas que incluyen noción, mediano y github para la documentación. Los sitios web de aspecto profesional incluyen perfiles de empleados, blogs de productos, blancos blancos y hojas de ruta de desarrollo. Las cuentas X parecen comprometidas con los recuentos de seguidores más altos que se suman a la aparición de legitimidad.

Los estafadores permanecen activos en las cuentas de redes sociales publicando actualizaciones de desarrollo de software. El contenido de marketing de productos se comparte regularmente mientras las campañas operan en todas las plataformas. El juego Eternal Decay Blockchain creó fotos falsas de presentación de la conferencia para la credibilidad.

Los atacantes incluso alteraron las fotos de la exposición italiana que los hacían aparecer como presentaciones de la compañía. Medium presenta publicaciones de blog sobre productos de software falsos y desarrollos de la compañía. La noción contiene hojas de ruta de productos detalladas e información integral de listado de empleados.

Los repositorios de GitHub cuentan con aspectos de software técnico utilizando proyectos robados de código abierto. Los nombres de código se cambian para que los repositorios parezcan únicos y originales. La información de registro de la empresa de Companies House se vincula a empresas de nombres similares.

Gitbook detalla la información de la compañía y enumera las asociaciones falsas de los inversores para la credibilidad. Las imágenes de juego robadas de Zombie dentro del juego aparecen como contenido eterno de decaimiento. Algunas compañías falsas establecen tiendas de mercancías para completar fachadas de negocios.

Estos elementos combinados crean apariciones convincentes de la empresa startup aumentando las tasas de éxito de la infección. Las víctimas reciben contacto a través de X mensajes, telegrama o discordia de los empleados. Los trabajadores falsos ofrecen pagos de criptomonedas para la participación en las pruebas de software.

Malware dirigido a los usuarios de Windows y MacOS Crypto Wallet

Las versiones de Windows se distribuyen a través de aplicaciones Electron que exigen códigos de registro de empleados suplantados. Los usuarios descargan los contenedores después de que se ingresan los códigos a través de la mensajería de redes sociales. Las pantallas de verificación CloudFlare se presentan antes de la ejecución de malware en los sistemas de destino.

El malware reúne los perfiles del sistema en nombre de usuario, detalles de la CPU, RAM y gráficos. Las direcciones MAC y los UUID del sistema se recopilan en fases de reconocimiento preliminares. Los mecanismos de autenticación basados en tokens usan tokens que se derivan de las URL de lanzamiento de aplicaciones.

Los certificados de firma de código robado aumentan la legitimidad del software y evaden la detección de seguridad. Se utilizaron compañías como Jiangyin Fengyuan ElectronICS Co. y Certificados APS de PaperBucketMDB. Python es recuperado y almacenado en directorios temporales para la ejecución de comandos.

Las distribuciones de MacOS se lanzan como archivos DMG que contienen scripts y binarios bash. Los scripts utilizan técnicas de ofuscación como la codificación Base64 y el cifrado XOR. AppleScript monta malware y ejecuta ejecutables desde directorios temporales AutomaticAlly.

El malware MacOS realiza verificaciones anti-análisis para entornos QEMU, VMWARE y Docker. Atomic Stealer se dirige a datos del navegador, billeteras criptográficas, cookies y archivos de documentos. Los datos robados se comprimen y se envían mediante solicitudes de publicación a los servidores.

Los scripts adicionales de BASH establecen persistencia a través de configuraciones de agente de lanzamiento al inicio de sesión. El malware registra continuamente el uso activo de la aplicación y la información de la ventana. Las marcas de tiempo de interacción del usuario se registran y se transmiten a los servidores de recolección periódicamente.

Ambas versiones se dirigen a datos de billetera de criptomonedas específicamente para operaciones de robo. Múltiples compañías falsas distribuyen malwaredentical con diferentes marcas y temas.

Una extensa lista de empresas falsas quedentcuenta en múltiples plataformas

DarktracE reveló varias compañías falsas que atraviesan esta campaña de ingeniería social. Pollens Ai se hace pasar por herramientas de creación colaborativa utilizando cuentas X y otros sitios web. Buzzu emplea los mismos logotipos y código que los polallas, pero se ejecuta bajo una marca diferente.

Se informa que Cloudsign proporciona servicios de plataforma de firma de documentos a los consumidores de negocios. SWOX es una red social de próxima generación Web3 Space. Klastai está estrechamente vinculado a cuentas y sitios de pollens con la misma marca.

Wasper usa los mismos logotipos y el código GitHub que los pólenses en varias áreas. Lunelior opera a través de varios sitios web que sirven a varios grupos de usuarios en específico. Beesync operaba previamente como alias de Buzzu antes de su cambio de marca en enero de 2025.

Slax aloja las redes sociales y los sitios centrados en la IA en múltiples sitios web. Solune llega a los usuarios a través de la actividad de la plataforma de redes sociales y el uso de la aplicación de mensajería. Eternal Decay es una empresa de juegos blockchain con presentaciones de conferencias sintéticas.

Dexis se marca igual que SWOX y compartió la misma base de usuarios. Nexvoo tiene múltiples dominios y gestión de plataformas de redes sociales. Nexloop renombró a Nexoracore renombrando repositorios de Github.

Yondaai se dirige a los usuarios del sitio de redes sociales y varios usuarios de dominio del sitio web. Cada empresa tiene frentes profesionales a través de procedimientos de integración de plataformas reales. El Grupo de Trafficador de CrazyVil ha estado operando tales campañas desde 2021.

El futuro registrado se aproxima a los millones de ingresos de CrayeVil de actividades maliciosas. Se dice que el grupo está detrás de los ataques contra usuarios criptográficos, personas influyentes y profesionales DeFi . Las campañas muestran extensos esfuerzos para hacer apariciones comerciales legítimas.

Academia Cryptopolitan: Próximamente, una nueva forma de obtener ingresos pasivos con DeFi en 2025. Obtenga más información