Какво е общото между BeeSync, Buzzu и още 14 компании, за които не сте чували? Точно така – те печелят пари от вас
Методите им са толкоз усъвършенствани, че жертвите сами им дават портфейлите си с криптовалута.
Кибер измамниците са засилили огромна акция, ориентирана към притежателите на криптовалути. Нападателите основават подправени стартъпи в региона на изкуствения разсъдък, игрите и Web3, с цел да измъкнат от жертвите техните цифрови активи. Целта им е да убедят потребителите да изтеглят злотворен програмен продукт, който се маскира като законни приложения за Windows и MacOS.
Според Darktrace уредниците на тези офанзиви основават подправени компании, като деликатно построяват техния онлайн имидж. Те основават страници в X (бившата Twitter), GitHub, Notion и Medium и разгласяват пътни карти, бели книги и изображения от конференции, обработени благодарение на графични редактори. За повишение на правдоподобността се употребяват даже хакнати тествани сметки на действителни чиновници на ИТ компании.
Схемата е стартирана в началото през март 2024 година, когато експертите от Jamf Threat Labs откриват домейна „ meethub[.]gg “, посредством който се популяризира зловредният програмен продукт Realst. По-късно акцията е получила кодовото име Meeten, откакто е открита реплика на платформа за видеоконференции. Под прикритието на онлайн среща, видимо отдадена на вложения, потребителите били подканени да изтеглят „ клиент “, само че в реалност това е бил злотворен програмен продукт. Този метод е употребен интензивно и през декември същата година.
Сега интензивността на нападателите освен не е стихнала, само че и се е засилила. Атаките са станали още по-сложни. Сред подправените компании, упоменати в отчета на Darktrace, са BeeSync, Buzzu, Cloudsign, Dexis, KlastAI, Lunelior, NexLoop, NexoraCore, NexVoo, Pollens AI, Slax, Solune, Swox, Wasper, YondaAI и Eternal Decay. Тези псевдостартъпи претендират да са разработчици на прогресивни ИИ решения, блокчейн игри и Web3 платформи.
Месинджърите, X, Telegram и Discord остават основни принадлежности за постигане до жертвата. На евентуалната жертва се предлага да тества приложението против заплащане в криптовалута. След това потребителят се пренасочва към уеб уебсайт, основан от нападателите, където вкарва „ регистрационен код “ и изтегля зловредния програмен продукт – за Windows това е MSI файл, а за macOS – DMG имидж.
При системите с Windows първо се демонстрира подправеният екран на Cloudflare, до момента в който програмата прикрито изтегля главния злотворен програмен продукт. Характеристиките на крайния програмен продукт не са тъкмо избрани, само че е известно, че той профилира устройството и започва програмата за кражба на данни.
В MacOS зловредният програмен продукт конфигурира Atomic macOS Stealer ( AMOS ), който е предопределен за кражба на документи, данни от браузърите и портфейли за криптовалути. Програмата се разпростира благодарение на шел скрипт, който прибавя приложението към автоматизираното пускане посредством Launch Agent. Освен това се изтегля двоичен файл на Objective-C/Swift, който наблюдава интензивността на потребителя и изпраща доклади на далечен сървър.
Технически офанзивите наподобяват активността на Crazy Evil – група, известна с разпространяването на StealC, AMOS и Angel Drainer. Въпреки неналичието на директни доказателства, специалистите на Darktrace акцентират сходството на тактиките.
Същността на протичащото се се свежда до едно: нападателите употребяват целия боеприпас на актуалните обществени мрежи, инструментите за показване на планове и образната машинация, с цел да основат оптимално достоверен облик на започваща компания и неусетно да вкарат злотворен програмен продукт. В резултат на това потребителите губят надзор над своите устройства и криптоактиви.
