В Darktrace выяснили, что аферисты связываются с потенциальными жертвами в соцсетях X, Telegram или Discord и предлагают людям вознаграждения в криптовалюте, если они примут участие в тестировании программного обеспечения. Мошенники выдают себя за стартапы в сфере искусственного интеллекта (ИИ), игр и Web3, обманом убеждая пользователей загружать зараженные программы. Злоумышленники используют чужие скомпрометированные учетные записи в X, а также проектную документацию и дорожные карты, опубликованные на легальных платформах, чтобы создать иллюзию правдоподобности.
Согласившись на участие в тестировании, пользователи перенаправляются на поддельные веб-сайты компаний, имитирующие настоящие стартапы. После загрузки вредоносного приложения, у пользователей появляется экран верификации Cloudflare, где вирус незаметно собирает системную информацию: данные о процессоре, MAC-адрес и идентификатор пользователя. Эти данные отправляются на сервер злоумышленника. Далее он извлекает конфиденциальную информацию жертвы, в том числе данные для входа в криптокошелек.
Исследователи Darktrace обнаружили версии этой вредоносной программы как для системы Windows, так и для macOS. В Darktrace предположили, что злоумышленники применяют методы, похожие на те, что использует хакерская группа Crazy Evil, атакующая криптовалютные сообщества. Эта группа хакеров выдает себя за компании, работающие в сфере блокчейна, публикуя вакансии, а затем похищает цифровые активы у соискателей работы.
Ранее специалисты по безопасности блокчейнов из компании SlowMist сообщили о криптомошенниках, рассылающих фишинговые ссылки на платформу Zoom для проведения видео-конференций.
