近期，加密货币用户正面临着一场精心策划的社会工程攻击，黑客伪装成新兴的AI、游戏和Web3公司，诱骗用户下载恶意软件以窃取数字资产。攻击者利用虚假的社交媒体账户和看似合法的网站，如X、Medium、GitHub和Notion，来构建虚假的公司形象。他们通过X、Telegram或Discord等平台接触受害者，诱导其测试软件并下载恶意程序，最终窃取Windows和macOS系统上的用户数据和加密货币。Darktrace的研究表明，此类攻击活动仍在持续，且攻击手段不断升级，用户应保持警惕。

📱攻击者伪装成AI、游戏和Web3公司，利用虚假社交媒体账户和看似合法的网站（如X、Medium等）来构建虚假的公司形象，以此诱骗用户。

🔗攻击链始于攻击者通过X、Telegram或Discord等平台联系受害者，诱导其测试软件。一旦受害者同意，就会被重定向到虚构网站，并被要求下载恶意软件。

💻在Windows系统上，恶意软件会伪装成Electron应用程序，并秘密扫描设备信息后下载并执行MSI安装程序，窃取用户数据。在macOS上，则会部署“Atomic macOS Stealer”（AMOS），窃取浏览器和加密货币钱包中的数据。

⚠️Darktrace指出，该活动与名为“CrazyEvil”的流量分发组织策划的攻击在战术层面存在相似之处，这表明攻击手段和恶意软件正在不断升级和更新。

HackerNews 编译，转载请注明出处：

加密货币用户正成为一场持续进行的社会工程攻击的目标。该攻击利用伪造的初创公司，诱骗用户下载恶意软件，用以窃取Windows和macOS系统上的数字资产。

“这些恶意行动假冒人工智能、游戏和Web3公司，使用伪造的社交媒体账户以及托管在Notion和GitHub等合法平台上的项目文档。” Darktrace研究员塔拉·古尔德在一份提供给The Hacker News的报告中表示。

这个精心策划的社交媒体骗局已运作多时。在2024年12月，其前身版本曾利用虚假视频会议平台，通过在Telegram等通讯应用接触用户后，以讨论投资机会为借口诱骗受害者加入会议。

最终下载了所谓会议软件的用户，会遭到Realst等窃密木马的暗中感染。当时，该活动被Cado Security（已于今年早些时候被Darktrace收购）以其中一个虚假视频会议服务的名字命名为“Meeten”。不过，有迹象表明此类活动可能自2024年3月起就已开始，当时Jamf Threat Labs曾披露黑客使用“meethub[.]gg”域名分发Realst木马。

Darktrace的最新研究显示，该活动不仅仍在活跃构成威胁，还采用了更广泛的诱饵主题，涉及人工智能、游戏、Web3和社交媒体。

此外，攻击者还被观察到利用被攻陷的公司及员工（主要是经过验证的）X账户来接近潜在目标，为其虚假公司营造合法假象。

“他们利用软件公司常用的网站，如X、Medium、GitHub和Notion，”古尔德说，“每家公司都有外观专业的网站，包含员工信息、产品博客、白皮书和路线图。”

其中一个不存在的公司是Eternal Decay (@metaversedexay)，它声称是一款基于区块链的游戏，并在X上分享了合法图片的经过数码修改的版本，制造其曾参加各种会议的假象。最终目标是通过建立线上形象，使这些公司尽可能显得真实，从而提高感染成功率。

部分其他已识别的虚假公司列举如下（包括其关联的X账户）：

BeeSync (X: @BeeSyncAI, @AIBeeSync)Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)Cloudsign (X: @cloudsignapp)Dexis (X: @DexisApp)KlastAI (X: 链接指向Pollens AI的X账户)LuneliorNexLoop (X: @nexloopspace)NexoraCoreNexVoo (X: @Nexvoospace)Pollens AI (X: @pollensapp, @Pollens_app)Slax (X: @SlaxApp, @Slax_app, @slaxproject)Solune (X: @soluneapp)Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)Wasper (X: @wasperAI, @WasperSpace)YondaAI (X: @yondaspace)

攻击链始于这些由攻击者控制的账户通过X、Telegram或Discord向受害者发送信息，以支付加密货币为诱饵，敦促他们测试其软件。

如果目标同意测试，他们会被重定向到一个虚构网站。在该网站上，受害者需要输入“员工”提供的注册码才能下载软件：根据使用的操作系统，提供的是一个Windows的Electron应用程序或一个苹果的磁盘映像（DMG）文件。

在Windows系统上，打开恶意应用程序会向受害者显示一个Cloudflare验证页面，同时秘密扫描设备信息，随后下载并执行一个MSI安装程序。虽然此时加载的确切恶意程序性质尚不清楚，但据信在此阶段运行的是一个信息窃取程序。

而在macOS版本的攻击中，最终将部署“Atomic macOS Stealer” (AMOS)。这是一个已知的信息窃取木马，能够窃取文档以及网页浏览器和加密货币钱包中的数据，并将其外泄至外部服务器。

该DMG二进制文件还会负责获取一个shell脚本。该脚本利用一个启动代理（Launch Agent）在系统上建立持久化机制，确保应用在用户登录时自动启动。此外，该脚本还会检索并运行一个Objective-C/Swift二进制程序，用于记录应用程序使用时间和用户交互时间戳，并将这些信息发送到远程服务器。

Darktrace还指出，该活动在战术层面与名为”CrazyEvil”的流量分发（traffers）组织所策划的攻击存在相似之处。该组织以诱骗受害者安装StealC、AMOS和Angel Drainer等恶意软件而闻名。

“虽然尚不清楚这些活动[…]是否可归因于CrazyEvil或其下属团队，但其描述的技术本质上相似，”古尔德表示。“此活动突显了威胁行为者为使这些假公司看起来合法以窃取受害者加密货币所作出的努力，同时也反映了其使用的恶意软件在不断升级更新的规避版本。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文