Darktrace警告社交工程騙局正在部署竊取加密貨幣的惡意軟件

網路安全公司Darktrace的研究人員警告稱，威脅行爲者正在使用越來越復雜的社交工程策略來感染受害者，以竊取加密貨幣的惡意軟件。

在最新的博客中，Darktrace 的研究人員詳細介紹了一項復雜的活動，其中發現騙子假冒 AI、遊戲和 Web3 初創公司，騙取用戶下載惡意軟件。

該計劃依賴於經過驗證和被攻陷的X帳戶，以及托管在合法平台上的項目文檔，以營造合法性的幻覺。

根據報告，活動通常始於冒名頂替者通過X、Telegram或Discord聯繫潛在受害者。他們假裝是新興初創公司的代表，提供如加密貨幣支付等激勵，以換取測試軟件。

受害者隨後被引導至經過精心設計的公司網站，這些網站旨在模仿合法的初創企業，配備白皮書、路線圖、GitHub 條目，甚至還有虛假的商品商店。

一旦目標下載了惡意應用程序，Cloudflare 驗證屏幕就會出現，在此期間，惡意軟件悄悄收集系統信息，如 CPU 詳情、MAC 地址和用戶 ID。這些信息與驗證碼令牌一起被發送到攻擊者的服務器，以確定該系統是否是一個可行的目標。

如果驗證成功，第二階段的有效載荷，通常是信息竊取工具，會悄悄地被傳送，然後提取敏感數據，包括加密貨幣錢包憑證。

惡意軟件的Windows和macOS版本都已被檢測到，一些Windows變種已知使用從合法公司盜取的代碼籤名證書。

根據Darktrace的說法，這場活動類似於“traffer”團體使用的策略，這些團體是專門通過欺騙性內容和社交媒體操控生成惡意軟件安裝的網路犯罪組織。

雖然威脅行爲者尚未被識別，但研究人員認爲所使用的方法與歸因於CrazyEvil的活動中的方法一致，該組織以針對加密相關社區而聞名。

“CrazyEvil及其子團隊創建虛假的軟件公司，類似於本博客中描述的那些，利用Twitter和Medium來針對受害者，”Darktrace寫道，並補充說該組織估計從其惡意活動中獲得了“數百萬美元的收入。”

一種反復出現的威脅

今年多次檢測到類似的惡意軟件活動，其中一起與北朝鮮相關的行動被發現使用假冒的Zoom更新來攻擊加密公司的macOS設備。

攻擊者 reportedly 部署了一種新的惡意軟件變體，名爲“NimDoor”，通過惡意 SDK 更新進行交付。該多階段有效負載旨在提取錢包憑證、瀏覽器數據以及加密的 Telegram 文件，同時在系統上保持持久性。

在另一個案例中，臭名昭著的朝鮮黑客組織Lazarus被發現假裝成招聘人員，利用一種名爲“OtterCookie”的新惡意軟件針對毫無戒心的專業人士，這種惡意軟件在假面試期間被部署。

今年早些時候，區塊鏈取證公司Merkle Science的一項獨立研究發現，社交工程詐騙主要通過被黑客攻擊的X帳戶針對名人和科技領袖。