Darktrace警告社交工程骗局正在部署窃取加密货币的恶意软件

网络安全公司Darktrace的研究人员警告称，威胁行为者正在使用越来越复杂的社交工程策略来感染受害者，以窃取加密货币的恶意软件。

在最新的博客中，Darktrace 的研究人员详细介绍了一项复杂的活动，其中发现骗子假冒 AI、游戏和 Web3 初创公司，骗取用户下载恶意软件。

该计划依赖于经过验证和被攻陷的X账户，以及托管在合法平台上的项目文档，以营造合法性的幻觉。

根据报告，活动通常始于冒名顶替者通过X、Telegram或Discord联系潜在受害者。他们假装是新兴初创公司的代表，提供如加密货币支付等激励，以换取测试软件。

受害者随后被引导至经过精心设计的公司网站，这些网站旨在模仿合法的初创企业，配备白皮书、路线图、GitHub 条目，甚至还有虚假的商品商店。

一旦目标下载了恶意应用程序，Cloudflare 验证屏幕就会出现，在此期间，恶意软件悄悄收集系统信息，如 CPU 详情、MAC 地址和用户 ID。这些信息与验证码令牌一起被发送到攻击者的服务器，以确定该系统是否是一个可行的目标。

如果验证成功，第二阶段的有效载荷，通常是信息窃取工具，会悄悄地被传送，然后提取敏感数据，包括加密货币钱包凭证。

恶意软件的Windows和macOS版本都已被检测到，一些Windows变种已知使用从合法公司盗取的代码签名证书。

根据Darktrace的说法，这场活动类似于“traffer”团体使用的策略，这些团体是专门通过欺骗性内容和社交媒体操控生成恶意软件安装的网络犯罪组织。

虽然威胁行为者尚未被识别，但研究人员认为所使用的方法与归因于CrazyEvil的活动中的方法一致，该组织以针对加密相关社区而闻名。

“CrazyEvil及其子团队创建虚假的软件公司，类似于本博客中描述的那些，利用Twitter和Medium来针对受害者，”Darktrace写道，并补充说该组织估计从其恶意活动中获得了“数百万美元的收入。”

一种反复出现的威胁

今年多次检测到类似的恶意软件活动，其中一起与北朝鲜相关的行动被发现使用假冒的Zoom更新来攻击加密公司的macOS设备。

攻击者 reportedly 部署了一种新的恶意软件变体，名为“NimDoor”，通过恶意 SDK 更新进行交付。该多阶段有效负载旨在提取钱包凭证、浏览器数据以及加密的 Telegram 文件，同时在系统上保持持久性。

在另一个案例中，臭名昭著的朝鲜黑客组织Lazarus被发现假装成招聘人员，利用一种名为“OtterCookie”的新恶意软件针对毫无戒心的专业人士，这种恶意软件在假面试期间被部署。

今年早些时候，区块链取证公司Merkle Science的一项独立研究发现，社交工程诈骗主要通过被黑客攻击的X账户针对名人和科技领袖。