Мошенники нашли новый способ охоты на владельцев криптовалют: они создают липовые стартапы, убеждают жертв установить вредоносные программы и лишают их цифровых сбережений — и на Windows, и на macOS.
Эксперт из Darktrace Тара Гулд отмечает: злоумышленники маскируются под трендовые AI-, игровые и Web3-компании, создавая фейковые профили в соцсетях и размещая поддельные документы даже на вполне легальных площадках, вроде Notion или GitHub.
Подобные схемы уже были замечены раньше: например, в декабре 2024 года жертвам предлагали присоединиться к фальшивым онлайн-коллам «по инвестициям» через Telegram. Достаточно было установить предлагаемую программу — и на компьютер незаметно попадал вирус Realst. Тогда эта операция прошла под названием Meeten — из-за вымышленного видеосервиса.
Исследователи из Jamf Threat Labs выяснили: похожие атаки шли как минимум с марта 2024 года — для заражения использовался сайт "meethub[.]gg", он тоже распространял Realst.
Свежие данные Darktrace показывают: угроза не только никуда не исчезла, но и обрела новые формы — теперь мошенники подделывают проекты из сфер искусственного интеллекта, игр, Web3 и даже соцсетей.
Чтобы выглядеть солиднее, аферисты используют взломанные или просто вымышленные корпоративные аккаунты и профили «сотрудников» — особенно с синей галочкой — чтобы войти в доверие к потенциальным жертвам.
Они заходят на популярные для IT- и криптосообщества площадки: X (бывший Twitter), Medium, GitHub, Notion. По словам Гулд, у каждой виртуальной «компании» есть якобы официальный сайт, список команды, собственный блог, whitepaper и даже «дорожная карта» продукта.
Например, несуществующий проект Eternal Decay (@metaversedecay) выдает себя за блокчейн-игру, а на X публикует обработанные фотографии с реальных конференций — чтобы казаться настоящим. Чем правдоподобнее их образ, тем проще заманить пользователей в ловушку.
Вот лишь часть поддельных компаний, попавших в поле зрения экспертов:
- BeeSync (X: @BeeSyncAI, @AIBeeSync)
- Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)
- Cloudsign (X: @cloudsignapp)
- Dexis (X: @DexisApp)
- KlastAI (X: ссылки на профиль Pollens AI)
- Lunelior
- NexLoop (X: @nexloopspace)
- NexoraCore
- NexVoo (X: @Nexvoospace)
- Pollens AI (X: @pollensapp, @Pollens_app)
- Slax (X: @SlaxApp, @Slax_app, @slaxproject)
- Solune (X: @soluneapp)
- Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)
- Wasper (X: @wasperAI, @WasperSpace)
- YondaAI (X: @yondaspace)
- BeeSync (X: @BeeSyncAI, @AIBeeSync)
- Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)
- Cloudsign (X: @cloudsignapp)
- Dexis (X: @DexisApp)
- KlastAI (X: ссылки на профиль Pollens AI)
- Lunelior
- NexLoop (X: @nexloopspace)
- NexoraCore
- NexVoo (X: @Nexvoospace)
- Pollens AI (X: @pollensapp, @Pollens_app)
- Slax (X: @SlaxApp, @Slax_app, @slaxproject)
- Solune (X: @soluneapp)
- Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)
- Wasper (X: @wasperAI, @WasperSpace)
- YondaAI (X: @yondaspace)
Атака начинается с личного сообщения в X, Telegram или Discord: якобы сотрудник приглашает попробовать новое приложение и получить за это криптовалюту.
Если пользователь клюёт на предложение, ему дают ссылку на поддельный сайт. Для скачивания программы нужно ввести «регистрационный код», выданный этим «сотрудником», и выбрать версию для Windows (Electron-приложение) или macOS (DMG-файл).
На Windows сразу после запуска вредонос показывает будто бы экран «проверки Cloudflare», параллельно изучая систему и скачивая/запуская MSI-установщик. На этом этапе, скорее всего, активируется троян-вор.
Версия для Mac загружает широко известный шпионский вирус Atomic macOS Stealer (AMOS). Он ворует документы, историю браузеров, данные криптокошельков и отправляет всё это на сервер злоумышленников.
Внутри DMG-файла скрывается скрипт, который создает Launch Agent — так вирус загружается при каждом запуске системы. Скрипт заодно скачивает и включает компонент на Objective-C/Swift: он записывает, какие программы вы используете, и отправляет хакерам отчёты обо всех ваших действиях.
Darktrace также отмечает: схема очень напоминает методы группировки Crazy Evil, печально известных вредоносами StealC, AMOS и Angel Drainer.
«У нас нет стопроцентных доказательств, что за атакой стоит именно Crazy Evil, но стиль работы указывает именно на них, — говорит Гулд. — Эта история отлично иллюстрирует, на что идут мошенники: они до мелочей копируют IT-компании, чтобы усыпить вашу бдительность и выманить все до последнего сатоши, и делают это всё более изощрёнными вирусами».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru