Startups falsas segmentam usuários de criptografia, infiltrando suas carteiras

A DarktracE Research revela a campanha de engenharia social em andamento, direcionada aos usuários de criptografia por meio de empresas falsas de startups. Os golpistas representam empresas de IA, jogos e Web3 usando contas de mídia social falsificadas.

A documentação do projeto é hospedada em plataformas legítimas, como Noção e Github. A campanha continua mudando desde dezembro de 2024, direcionando os funcionários da Web3 em todo o mundo.

Empresas falsas usam plataformas legítimas para criar presença credível

Os atores de ameaças criam empresas de startups falsas com a IA, jogos, temas de software de reunião de vídeo. As fachadas da Web3 e da empresa de mídia social ajudam a segmentar usuários de criptomoeda especificamente. Essas operações usam contas X comprometidas normalmente com a verificação para entrar em contato com as vítimas.

Os atacantes usam plataformas legítimas, incluindo noção, médio e github para documentação. Os sites de aparência profissional incluem perfis de funcionários, blogs de produtos, whitepapers e roteiros de desenvolvimento. X contas parecem comprometidas com uma maior contagem de seguidores, aumentando o aparecimento de legitimidade.

Os golpistas permanecem ativos nas contas de mídia social postando atualizações de desenvolvimento de software. O conteúdo de marketing de produtos é compartilhado regularmente enquanto as campanhas operam em plataformas. O Eternal Decay Blockchain Game criou fotos de apresentação da conferência falsa para credibilidade.

Os atacantes até alteraram as fotos da exposição italiana, fazendo -as aparecer como apresentações da empresa. Médio hospeda postagens de blog sobre produtos de software falso e desenvolvimentos da empresa. A noção contém roteiros detalhados de produtos e informações abrangentes para a listagem de funcionários.

Os repositórios do GitHub apresentam aspectos de software técnico usando projetos de código aberto roubados. Os nomes de código são alterados para fazer com que os repositórios pareçam únicos e originais. As informações de registro da empresa da empresa House são ligadas a empresas de nome semelhante.

O Gitbook detalha as informações da empresa e lista parcerias falsas para investidores para credibilidade. As imagens de jogo roubadas de zumbi no jogo parecem eternas de decaimento. Algumas empresas falsas estabelecem lojas de mercadorias para concluir as fachadas de negócios.

Esses elementos combinados criam aparições convincentes da empresa de startups, aumentando as taxas de sucesso da infecção. As vítimas recebem contato através de X mensagens, telegrama ou discórdia dos funcionários. Trabalhadores falsos oferecem pagamentos de criptomoeda para participação no teste de software.

Malware direcionando os usuários de carteira Windows e MacOS cripto

As versões do Windows são distribuídas por meio de aplicativos Electron que exigem códigos de registro de funcionários representados. Os caixotes são baixados por usuários após a entrada de códigos fornecidos por meio de mensagens de mídia social. As telas de verificação do CloudFlare são apresentadas antes da execução de malware em sistemas de destino.

O malware reúne perfis do sistema em nome de usuário, detalhes da CPU, RAM e gráficos. Os endereços MAC e os UUIDs do sistema são coletados em fases preliminares de reconhecimento. Os mecanismos de autenticação baseados em token usam tokens que são derivados dos URLs do lançador de aplicativos.

Certificados de assinatura de código roubados aumentam a legitimidade do software e evitam a detecção de segurança. Foram utilizadas empresas como Jiangyin Fengyuan ElectronICS Co. e Certificados PaperBucketMDB APS. O Python é recuperado e armazenado em diretórios temporários para execução de comando.

As distribuições MacOS são liberadas como arquivos DMG contendo scripts e binários bash. Os scripts usam técnicas de ofuscação como a codificação Base64 e a criptografia XOR. AppleScript monta malware e executa executáveis a partir de diretórios temporários,maticautomático.

O malware MacOS executa verifica anti-análise para ambientes QEMU, VMware e Docker. Atomic Stealer direciona dados do navegador, carteiras de criptografia, cookies e arquivos de documentos. Os dados roubados são compactados e enviados por meio de solicitações de postagem para servidores.

Scripts adicionais de bash estabelecem persistência por meio de configurações de agentes de lançamento no login. O malware registra o uso ativo do aplicativo e as informações da janela continuamente. Timstamps de interação do usuário são gravados e transmitidos para servidores de coleta periodicamente.

Ambas as versões têm como alvo dados de carteira de criptomoeda especificamente para operações de roubo. Múltiplas empresas falsas distribuem malware dedentcom diferentes marcas e temas.

Lista extensa de empresas falsas que eudentem várias plataformas

A DarktracE revelou várias empresas falsas que contornam esta campanha de engenharia social. Pollens AI representa ferramentas de criação colaborativa usando x contas e outros sites. Buzzu emprega os mesmos logotipos e código que os pólens, mas é executado sob diferentes marcas.

É relatado que o CloudSign fornece serviços de plataforma de assinatura de documentos aos consumidores de negócios. Swox é uma rede social de próxima geração do espaço da Web3. O Klastai está intimamente ligado a contas e sites de pólens com a mesma marca.

O WASPER usa os mesmos logotipos e código do GitHub que os pólen em várias áreas. O Lunelior opera através de vários sites que atendem a vários grupos de usuários específicos. A Beesync operava anteriormente como pseudônimo do Buzzu antes de sua rebranding em janeiro de 2025.

O SLAX hospeda as mídias sociais e os sites centrados na IA em vários sites. Solune chega aos usuários por meio de atividades de plataforma de mídia social e uso de aplicativos de mensagens. O Eternal Decay é uma empresa de jogos de blockchain com apresentações de conferências sintéticas.

Dexis é marcado da mesma forma que Swox e compartilhou a mesma base de usuários. O Nexvoo possui vários domínios e gerenciamento de plataforma de mídia social. Nexloop renomeado ao Nexoracore renomeando repositórios do GitHub.

A Yondaai tem como alvo usuários de site de mídia social e vários usuários de domínio do site. Toda empresa possui frentes profissionais através de procedimentos reais de integração de plataforma. O Crazyevil Trafher Group opera essas campanhas desde 2021.

O futuro registrado aproxima -se dos milhões de receitas da Crazyevil de atividades maliciosas. Diz -se que o grupo está por trás de ataques a usuários de criptografia, influenciadores e profissionais DeFi . As campanhas mostram extensos esforços para fazer aparições legítimas de negócios.

Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida