Les utilisateurs de crypto-monnaie sont la cible d’une campagne d’ingénierie sociale en cours qui utilise de fausses sociétés de démarrage pour inciter les utilisateurs à télécharger des logiciels malveillants qui peuvent drainer les actifs numériques à partir des systèmes Windows et MacOS.
“Ces opérations malveillantes se font passer pour les entreprises d’IA, de jeu et de web3 utilisant des comptes de médias sociaux usurpés et une documentation de projet hébergée sur des plateformes légitimes comme la notion et Github”, a déclaré Tara Gould, chercheur de Darktrace, dans un rapport partagé avec le Hacker News.
L’escroquerie élaborée des médias sociaux est depuis un certain temps maintenant, avec une itération précédente en décembre 2024 en tirant parti de fausses plateformes de vidéoconférence pour duper les victimes de rejoindre une réunion sous le prétexte de discuter d’une opportunité d’investissement après avoir approché d’eux sur des applications de messagerie comme Telegram.
Les utilisateurs qui ont fini par télécharger le prétendu logiciel de réunion ont été furtivement infectés par des logiciels malveillants de voleur tels que Realst. La campagne a été nommée Meeten par Cado Security (qui a été acquise par Darktrace plus tôt cette année) en référence à l’un des bidon de services de vidéoconférence.
Cela dit, il y a des indications que l’activité peut se poursuivre depuis au moins mars 2024, lorsque Jamf Threat Labs a révélé l’utilisation d’un domaine nommé “Meethub[.]GG “pour livrer Realst.
Les dernières découvertes de Darktrace montrent que la campagne reste non seulement une menace active, mais a également adopté un éventail plus large de thèmes liés à l’intelligence artificielle, aux jeux, au Web3 et aux médias sociaux.
En outre, les attaquants ont été observés en train de tirer parti des comptes X compromis associés aux entreprises et aux employés, principalement ceux qui sont vérifiés, pour aborder des objectifs potentiels et donner à leurs fausses entreprises une illusion de légitimité.
“Ils utilisent des sites qui sont fréquemment utilisés avec des logiciels tels que X, Medium, Github et Notion”, a déclaré Gould. “Chaque entreprise dispose d’un site Web d’aspect professionnel qui comprend des employés, des blogs de produits, des blancs et des feuilles de route.”
Une de ces entreprises inexistantes est Eternal Decay (@Metaversedecay), qui prétend être un jeu alimenté par la blockchain et a partagé des versions numériquement modifiées des images légitimes sur X pour donner l’impression qu’ils présentent à diverses conférences. L’objectif final est de construire une présence en ligne qui rend ces entreprises aussi réelles que possible et augmente la probabilité d’infection.
Certaines des autres sociétés identifiées sont répertoriées ci-dessous –
- Beesync (x comptes: @beesyncai, @aibeesync)
- Buzzu (x comptes: @buzzuapp, @ai_buzzu, @appbuzzu, @buzzuapp)
- Cloudsign (compte x: @cloudsignApp)
- Dexis (compte x: @dexisapp)
- Klastai (compte X: liens vers Pollens le compte X d’Ai)
- Lunéor
- NEXLOOP (compte x: @NexloopSpace)
- Nexoracore
- NEXVOO (compte X: @NexVoOspace)
- Pollens AI (X comptes: @pollensapp, @pollens_app)
- Slax (x comptes: @slaxapp, @slax_app, @slaxproject)
- Solune (compte x: @soluneapp)
- SWOX (X comptes: @SwoxApp, @Swox_ai, @Swox_App, @App_Swox, @Appswox, @SwoxProject, @projectswox)
- Wasper (X comptes: @wasperai, @wasperspace)
- Yondaai (compte x: @yondaspace)
Les chaînes d’attaque commencent lorsque l’un de ces comptes contrôlés par adversaire met une victime par le biais de X, de télégramme ou de discorde, les exhortant à tester son logiciel en échange d’un paiement de crypto-monnaie.
Si l’objectif accepte le test, il est redirigé vers un site Web fictif à partir de laquelle il est promu pour saisir un code d’enregistrement fourni par l’employé pour télécharger une application Windows Electron ou un fichier d’image de disque Apple (DMG), en fonction du système d’exploitation utilisé.
Sur Windows Systems, l’ouverture de l’application malveillante affiche un écran de vérification CloudFlare à la victime tout en profil secrètement la machine et procède à télécharger et à exécuter un installateur MSI. Bien que la nature exacte de la charge utile ne soit pas claire, on pense qu’un voleur d’informations est géré à ce stade.
La version macOS de l’attaque, en revanche, conduit au déploiement du voleur atomique MacOS (AMOS), un logiciel malveillant d’infostaler connu qui peut siphon des documents ainsi que des données de navigateurs Web et de portefeuilles cryptographiques, et exfiltrer les détails vers un serveur externe.
Le binaire DMG est également équipé pour récupérer un script shell responsable de la configuration de la persistance sur le système à l’aide d’un agent de lancement pour s’assurer que l’application démarre automatiquement lors de la connexion de l’utilisateur. Le script récupère et exécute également un binaire objectif-C / Swift qui enregistre l’utilisation des applications et l’interaction utilisateur, et les transmet à un serveur distant.
DarkTrace a également noté que la campagne partage des similitudes tactiques avec celles orchestrées par un groupe de trafics appelée Crazy Evil connue pour duper les victimes pour installer des logiciels malveillants tels que Stealc, Amos et Angel Drainer.
“Bien qu’il ne soit pas clair si les campagnes […] Peut être attribué à CrazyEvil ou à toute sous-équipe, les techniques décrites sont de nature similaire “, a déclaré Gould.” Cette campagne met en évidence les efforts selon lesquels les acteurs de la menace iront pour donner à ces fausses entreprises un aspect légitime afin de voler la crypto-monnaie des victimes, en plus de l’utilisation de versions plus nouvelles évasives de malware. “
