Los usuarios de criptomonedas son el objetivo de campañas de ingeniería social en curso que emplean nuevas empresas falsas para descargar malware que pueden consumir activos digitales de los sistemas Windows y MacOS.
«Estas operaciones maliciosas se han realizado utilizando empresas de IA, juegos y Web3 con cuentas de redes sociales falsificadas y documentos de proyectos alojados en plataformas legítimas como conceptos y GitHub», dijo la investigadora de Darktrace Tara Gould en un informe compartido con Hacker News.
Durante algún tiempo, la elaborada estafa de las redes sociales aprovechó la plataforma de videoconferencia falsa en una iteración anterior en diciembre de 2024 para engañar a las víctimas y acercarse a ellos con aplicaciones de mensajería como Telegram antes de unirse a la reunión con el pretexto de discutir oportunidades de inversión.
En última instancia, los usuarios que terminaron descargando software de reuniones se infectaron secretamente con malware de robador, como Realst. La campaña recibió un nombre en código Meten por Cado Security (adquirido por DarkTrace a principios de este año) en relación con uno de los servicios falsos de videoconferencia.
Dicho esto, hay indicios de que esta actividad puede estar en curso cuando Jamf Amenazos Labs revela el uso de un dominio llamado «Meethub (.) GG» y revela el uso de un dominio real realizado.
Los últimos hallazgos de DarkTrace muestran que la campaña sigue siendo una amenaza proactiva, pero también emplea una amplia gama de temas relacionados con la inteligencia artificial, los juegos, Web3 y las redes sociales.
Además, se ha observado que los atacantes están aprovechando las cuentas X que aprovechan las cuentas X comprometidas relacionadas con las empresas y los empleados para abordar los objetivos futuros y brindan a las compañías falsas una ilusión de legitimidad.
«Utilizan sitios que son utilizados con frecuencia por compañías de software como X, Medium, Github y Concepts», dice Gould. «Cada compañía tiene un sitio web profesional que incluye empleados, blogs de productos, documentos blancos y hoja de ruta».
Una de esas empresas inexistentes es la descomposición eterna (@metaverseedecay). Afirma ser un juego de blockchain, dando la impresión de que comparte una versión legalmente modificada en X y la presenta en varias reuniones. El objetivo final es crear una presencia en línea que haga que estas empresas se vean lo más realistas posible y mejoren la probabilidad de infección.
A continuación se muestra una lista de algunas de las otras empresas identificadas
Beesync (X Cuenta: @beesync, @aibeesync) Buzzu (X Cuenta: @BuzzApp, @ai_buzzu, @AppBuzzup, @BuzzApp) Cloudsign (X Account: @ClouddSignApp) Dexis (X Cuenta: @dexisApp) Klastai (X Account: X Account: X Account: X Account: X Cuenta: X Account: X Cuenta: X Account nexoracore nexvoo (x cuenta: @NexvoSoSpace) Pollen (X Cuenta: @PollensApp, @Pollens_App) Slax (X Cuenta: @slaxapp, @slax_app, @slaxproject) solune (x cuenta: @soluneap) swox_app, @swox_app, @App_Swox, @Swox, @Swox, wapox, wapoxy (X.
La cadena de ataque comienza cuando cualquiera de estas cuentas hostiles envía un mensaje a la víctima a través de X, Telegram o inconsistencia, les pide que prueben su software a cambio de pagos de criptomonedas.
Si el objetivo está de acuerdo con la prueba, se redirigirá a un sitio web ficticio que han promovido para ingresar el código de registro proporcionado por el empleado para descargar la aplicación Windows Electron o el archivo de imagen de disco Apple (DMG), dependiendo del sistema operativo que usen.
En los sistemas de Windows, cuando abre una aplicación maliciosa, la víctima verá una pantalla de verificación de CloudFlare, perfilará mal su máquina, descargue y ejecute el instalador MSI. Se desconoce la naturaleza exacta de la carga útil, pero se cree que los elementos robados de información se llevarán a cabo en esta etapa.
Mientras tanto, los ataques a la versión MACOS conducen al despliegue de Atomic MacOS Stealer (AMOS), un malware de infantes de infente que absorbe documentos de sifón y excluye detalles a servidores externos, así como datos de navegadores web y billeteras criptográficas.
El binario DMG está equipado para iniciar automáticamente la aplicación al inicio de sesión del usuario para obtener un script de shell responsable de configurar la persistencia en el sistema utilizando el agente de lanzamiento. El script también registra el uso de la aplicación y las marcas de tiempo de interacción del usuario, y recupera y ejecuta los binarios Objective-C/Swift que se envían al servidor remoto.
Darktrace también dijo que la campaña comparte similitudes tácticas con personas organizadas por un grupo de tráfico llamado Crazy Evil, conocido por engañar a las víctimas para instalar malware como STEALC, AMOS y Angel Drainer.
«No está claro si la campaña (…) podría atribuirse a CrazyEvil o cualquier submarcado, pero las técnicas explicadas son esencialmente similares», dijo Gould. «La campaña destaca los esfuerzos que los actores de amenaza hacen para hacer que estas compañías falsas parezcan legales, además de usar nuevas versiones evasivas de malware, para robar la criptomoneda de las víctimas».
Source link
