Usuários de criptomoedas são alvo de uma campanha contínua de engenharia social que utiliza empresas fictícias para enganar usuários a baixarem malware capaz de drenar ativos digitais tanto de sistemas Windows quanto de macOS.
"Essas operações maliciosas se passam por empresas de IA, jogos e Web3 usando contas falsas nas mídias sociais e documentação de projetos hospedada em plataformas legítimas como Notion e GitHub," disse a pesquisadora da Darktrace, Tara Gould, em um relatório compartilhado com o site The Hacker News.
O golpe sofisticado nas mídias sociais vem acontecendo há algum tempo, com uma iteração anterior em dezembro de 2024 aproveitando plataformas falsas de videoconferência para enganar vítimas a se juntarem a uma reunião sob o pretexto de discutir uma oportunidade de investimento após abordá-las em aplicativos de mensagens como Telegram.
Usuários que acabaram baixando o suposto software de reunião foram secretamente infectados por malware tipo stealer, como o Realst.
A campanha foi apelidada de Meeten pela Cado Security (que foi adquirida pela Darktrace no início deste ano) em referência a um dos serviços falsos de videoconferência.
Dito isso, há indicações de que a atividade pode estar em andamento desde pelo menos março de 2024, quando o Jamf Threat Labs divulgou o uso de um domínio chamado "meethub[.]gg" para entregar o Realst.
As últimas descobertas da Darktrace mostram que a campanha não apenas continua sendo uma ameaça ativa, mas também adotou uma gama mais ampla de temas relacionados a inteligência artificial, jogos, Web3 e mídias sociais.
Além disso, observou-se que os atacantes estão aproveitando contas X comprometidas associadas a empresas e funcionários, principalmente aquelas que são verificadas, para abordar alvos em potencial e dar às suas empresas falsas uma ilusão de legitimidade.
"Eles fazem uso de sites que são frequentemente utilizados com empresas de software como X, Medium, GitHub e Notion," disse Gould.
Cada empresa possui um site com aparência profissional que inclui funcionários, blogs de produtos, whitepapers e roadmaps.
Uma dessas empresas inexistentes é a Eternal Decay (@metaversedecay), que afirma ser um jogo alimentado por blockchain e compartilhou versões digitalmente alteradas de fotos legítimas no X para dar a impressão de que estão apresentando em várias conferências.
O objetivo final é criar uma presença online que faça essas empresas parecerem reais o máximo possível e aumente a probabilidade de infecção.
Algumas das outras empresas identificadas são listadas abaixo:
BeeSync (contas no X: @BeeSyncAI, @AIBeeSync)
Buzzu (contas no X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)
Cloudsign (conta no X: @cloudsignapp)
Dexis (conta no X: @DexisApp)
KlastAI (conta no X: Links para a conta do X da Pollens AI)
Lunelior
NexLoop (conta no X: @nexloopspace)
NexoraCore
NexVoo (conta no X: @Nexvoospace)
Pollens AI (contas no X: @pollensapp, @Pollens_app)
Slax (contas no X: @SlaxApp, @Slax_app, @slaxproject)
Solune (conta no X: @soluneapp)
Swox (contas no X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)
Wasper (contas no X: @wasperAI, @WasperSpace)
YondaAI (conta no X: @yondaspace)
As cadeias de ataque começam quando uma dessas contas controladas pelo adversário envia uma mensagem a uma vítima através do X, Telegram ou Discord, instando-os a testar o software em troca de um pagamento em criptomoeda.
Caso o alvo concorde com o teste, ele é redirecionado a um site fictício de onde é promovido a inserir um código de registro fornecido pelo funcionário para baixar um aplicativo Electron para Windows ou um arquivo de imagem de disco (DMG) da Apple, dependendo do sistema operacional usado.
Nos sistemas Windows, abrir o aplicativo malicioso exibe uma tela de verificação da Cloudflare para a vítima enquanto perfila secretamente a máquina e procede para baixar e executar um instalador MSI.
Embora a natureza exata do payload seja incerta, acredita-se que um stealer de informações seja executado nesta etapa.
A versão para macOS do ataque, por outro lado, leva ao deploy do Atomic macOS Stealer (AMOS), um malware infostealer conhecido que pode sifonar documentos bem como dados de navegadores web e carteiras de criptoativos, e exfiltrar os detalhes para um servidor externo.
O binário DMG também está equipado para buscar um script shell responsável por configurar a persistência no sistema usando um Agente de Lançamento para garantir que o aplicativo inicie automaticamente no login do usuário.
O script também recupera e executa um binário Objective-C/Swift que registra os usos do aplicativo e os carimbos de tempo de interação do usuário, e os transmite para um servidor remoto.
A Darktrace também observou que a campanha compartilha similaridades táticas com aquelas orquestradas por um grupo chamado Crazy Evil, conhecido por enganar vítimas a instalarem malware como StealC, AMOS e Angel Drainer.
"Embora não esteja claro se as campanhas [...] podem ser atribuídas ao CrazyEvil ou quaisquer subequipes, as técnicas descritas são semelhantes em natureza," disse Gould.
Esta campanha destaca os esforços que os atores de ameaças farão para fazer essas empresas falsas parecerem legítimas, a fim de roubar criptomoedas das vítimas, além do uso de versões mais novas e evasivas de malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...