Мошенничество в крипте выпускает цифровых демонов

Ах, вечная борьба между добром и злом развернулась в огромных просторах киберпространства . Исследователи из Darktrace, стойкие защитники цифрового мира, бьют тревогу: злоумышленники используют все более хитрые методы социальной инженерии для заражения доверчивых пользователей вредоносным ПО, предназначенным для кражи криптовалюты 🚨.

Наш фокус — не сиюминутная прибыль, а стабильный рост капитала. Анализируем бизнес, а не тикеры. Для тех, кто инвестирует, а не играет.

К Разумным Инвестициям

В истории обмана и коварства исследователи Darktrace подробно описали сложную кампанию, в которой мошенники выдают себя за AI, игровые и Web3 стартапы, эксплуатируя доверчивость своих жертв. Схема основана на проверенных и скомпрометированных X аккаунтах, а также проектной документации, размещенной на легитимных платформах, чтобы создать иллюзию законности.

Это начинается с казалось бы безобидного сообщения в X, Telegram или Discord, где злоумышленники связываются с потенциальными жертвами, выдавая себя за представителей новых стартапов . Они заманивают обещанием выплат криптовалютой в обмен на тестирование программного обеспечения, что является соблазнительной перспективой для неосторожных 💸.

Жертв направляют на безупречные сайты компаний, созданные для имитации легальных стартапов, с подробными техническими описаниями проектов (white papers), дорожными картами, репозиториями на GitHub и даже фальшивыми магазинами товаров 🛍️. Это настоящий Потемкин город обмана ️.

После загрузки вредоносного приложения появляется экран верификации Cloudflare, на котором троян незаметно собирает информацию о системе, включая детали CPU, MAC-адрес и ID пользователя. Затем эта информация вместе с токеном CAPTCHA отправляется серверу злоумышленника для оценки пригодности системы как цели атаки.

Если проверка проходит успешно, то незаметно доставляется полезная нагрузка второго этапа, обычно крадущий информацию (info-stealer), который извлекает чувствительные данные, включая учетные данные криптовалютных кошельков. Обнаружены версии вредоносного ПО для Windows и macOS, причем некоторые варианты для Windows используют украденные сертификаты подписи кода от легитимных компаний.

Согласно данным Darktrace, эта кампания имеет поразительное сходство с тактиками, используемыми группами ‘траффера’, кибепреступными сетями, специализирующимися на распространении вредоносного ПО через вводящий в заблуждение контент и манипуляции в социальных сетях.

В то время как злоумышленники остаются загадкой, исследователи считают, что используемые методы соответствуют тем, которые наблюдались в кампаниях, приписываемых группе CrazyEvil, известной своими атаками на сообщества, связанные с криптовалютами.

CrazyEvil и их субкоманды создают поддельные компании программного обеспечения, схожие с описанными в этом блоге, используя Twitter и Medium для воздействия на жертв. Darktrace сообщила, что группа предположительно заработала миллионы долларов дохода благодаря своей вредоносной активности.

Кошмар наяву

Увы, это не единичный случай ‍♂️. Подобные кампании вредоносного ПО были обнаружены несколько раз в течение этого года, одна из них, связанная с Северной Кореей, использовала поддельные обновления Zoom для компрометации устройств macOS у криптовалютных компаний .

Атакующие по сообщениям развернули новый штамм вредоносного ПО под названием ‘NimDoor’, распространяемый через вредоносное обновление SDK. Многоэтапная нагрузка была разработана для извлечения данных о кошельках, данных браузера и зашифрованных файлов Telegram с сохранением активности на системе.

В другом случае было обнаружено, что печально известная хакерская группировка Северной Кореи Lazarus представляется как рекрутеры с целью заманивания непроницаемых профессионалов новым видом вредоносного ПО под названием ‘OttarCookie’, которое распространялось во время фальшивых собеседований.

Ранее в этом году отдельное исследование фирмы по блокчейн-расследованиям Merkle Science показало, что мошенничества с социальной инженерией чаще всего направлены на знаменитостей и технических лидеров через взломанные аккаунты в X (ранее Twitter).

Смотрите также

2025-07-11 11:40