Los usuarios de criptomonedas son el objetivo de una campaña de ingeniería social en curso que emplea a las compañías de inicio falsas para engañar a los usuarios para que descarguen malware que pueda drenar los activos digitales de los sistemas Windows y MacOS.
«Estas operaciones maliciosas se hacen producirse por las empresas de IA, juegos y Web3 que utilizan cuentas de redes sociales falsificadas y documentación de proyectos alojadas en plataformas legítimas como la conocimiento y GitHub», dijo la investigadora de DarkTrace Tara Gould en un crónica compartido con Hacker News.
La elaborada estafa de redes sociales ha sido desde hace tiempo, con una iteración previa en diciembre de 2024 aprovechando plataformas falsas de videoconferencia para engañar a las víctimas para que se unan a una reunión con el pretexto de discutir una oportunidad de inversión posteriormente de acercarse a ellos en aplicaciones de correo como Telegram.
Los usuarios que terminaron descargando el supuesto software de reunión fueron infectados sigilosamente por malware robador como Realst. La campaña recibió un nombre en código Meeten por Cado Security (que fue adquirido por DarkTrace a principios de este año) en narración a uno de los servicios falsos de videoconferencia.
Dicho esto, hay indicios de que la actividad puede tener estado en curso desde al menos en marzo de 2024, cuando Jamf Amenazing Labs reveló el uso de un dominio llamado «Meethub (.) GG» para entregar existente.
Los últimos hallazgos de DarkTrace muestran que la campaña no solo sigue siendo una amenaza activa, sino que todavía ha adoptivo una viso más amplia de temas relacionados con la inteligencia fabricado, los juegos, Web3 y las redes sociales.
Adicionalmente, se ha observado que los atacantes aprovechan las cuentas X comprometidas asociadas con empresas y empleados, principalmente verificados, para atracar los objetivos prospectivos y dar a sus compañías falsas una ilusión de licitud.
«Hacen uso de sitios que se utilizan con frecuencia con compañías de software como X, Medium, GitHub y conocimiento», dijo Gould. «Cada compañía tiene un sitio web de aspecto profesional que incluye empleados, blogs de productos, blancos blancos y hojas de ruta».
Una de esas compañías inexistentes es la decadencia eterna (@metaverseedecay), que afirma ser un pasatiempo con motor blockchain y ha compartido versiones digitalmente alteradas de imágenes legítimas en X para dar la impresión de que están presentando en varias conferencias. El objetivo final es construir una presencia en fila que haga que estas empresas parezcan lo más reales posible y aumente la probabilidad de infección.
Algunas de las otras compañías identificadas se enumeran a continuación –
- Beesync (X cuentas: @beesyncai, @aibeesync)
- Close Up (X Apuncts: @BuzzApp, @francescabuapp, @Francesca_FrancesCap) 🙂
- Cloudsign (X.
- Dexis (cuenta x: @dexisapp)
- Klastai (cuenta X: enlaces a la cuenta X de Pollens AI)
- Lunel
- NEXLOOP (X.
- Nexorómico
- NEXVOO (X CUENTA: @NEXVOOSPACE)
- POLLENS AI (X cuentas: @PollensApp, @Pollens_App)
- Slax (X cuentas: @slaxapp, @slax_app, @slaxproject)
- Solune (cuenta X: @SoluneApp)
- SWOX (X cuentas: @swoxapp, @swox_ai, @swox_app, @app_swox, @Appswox, @swoxproject, @projectswox)
- Wasper (X cuentas: @waspai, @wasperspace)
- Yondai (X Cuenta: @YonDaspace)
Las cadenas de ataque comienzan cuando una de estas cuentas controladas por el adversario envía mensajes a una víctima a través de X, Telegram o Discord, instándolos a probar su software a cambio de un suscripción de criptomonedas.
Si el objetivo acuerda la prueba, se redirigen a un sitio web ficticio desde donde se promueve para ingresar un código de registro proporcionado por el empleado para descargar una aplicación de electrones de Windows o un archivo de imagen de disco de Apple (DMG), dependiendo del sistema eficaz utilizado.
En los sistemas de Windows, la transigencia de la aplicación maliciosa muestra una pantalla de comprobación de CloudFlare a la víctima mientras perfila la máquina y procede a descargar y ejecutar un instalador MSI. Aunque la naturaleza exacta de la carga útil no está clara, se cree que un robador de información se ejecuta en esta etapa.
La lectura MACOS del ataque, por otro banda, conduce al despliegue del Atomic MacOS Stealer (AMOS), un malware de Infente de Infentes conocido que puede desviar documentos, así como datos de navegadores web y billeteras criptográficas, y exfiltran los detalles al servidor foráneo.
El binario DMG todavía está equipado para obtener un script de shell responsable de configurar la persistencia en el sistema utilizando un agente de tirada para avalar que la aplicación comience automáticamente al inicio de sesión del afortunado. El script todavía recupera y ejecuta un binario Objective-C/Swift que registra el uso de la aplicación y las marcas de tiempo de interacción del afortunado, y las transmite a un servidor remoto.
Darktrace todavía señaló que la campaña comparte similitudes tácticas con las orquestadas por un clan de traficantes llamado Crazy Evil que se sabe que engañan a las víctimas para instalar malware como STEALC, AMOS y Angel Drainer.
«Si aceptablemente no está claro si las campañas (…) pueden atribuirse a CrazyEvil o cualquier equipo subterráneo, las técnicas descritas son de naturaleza similar», dijo Gould. «Esta campaña destaca los esfuerzos de que los actores de amenaza harán que estas compañías falsas parezcan legítimas para robar la criptomoneda de las víctimas, por otra parte del uso de nuevas versiones evasivas de malware».
