Kripto para birimi kullanıcıları, kullanıcıları hem Windows hem de MacOS sistemlerinden dijital varlıkları boşaltabilecek kötü amaçlı yazılımları indirmek için kandırmak için sahte başlangıç şirketlerini kullanan devam eden bir sosyal mühendislik kampanyasının hedefidir.
Darktrace araştırmacısı Tara Gould, hacker News ile paylaşılan bir raporda, “Bu kötü niyetli operasyonlar, Hacker News ve Github gibi meşru platformlarda barındırılan sahte sosyal medya hesaplarını ve proje belgelerini kullanarak AI, Oyun ve Web3 firmalarını taklit ediyor.” Dedi.
Ayrıntılı sosyal medya aldatmacası, Aralık 2024’te önceki bir yinelemenin, kurbanları Telegr gibi mesajlaşma uygulamalarına yaklaştıktan sonra bir yatırım fırsatını tartışma bahanesi altında bir toplantıya katılmaları için sahte video konferans platformlarından yararlanmasıyla.
Talep edilen toplantı yazılımını indiren kullanıcılar, Realst gibi Stealer kötü amaçlı yazılımlar tarafından gizli bir şekilde enfekte edildi. Kampanya, sahte video konferans hizmetlerinden birine atıfta bulunarak Cado Security (bu yılın başlarında DarkTrace tarafından satın alınan) tarafından karşılandı.
Bununla birlikte, JAMF Tehdit Laboratuvarlarının “Meethub adlı bir alan adının kullanımını açıkladığı en azından Mart 2024’ten beri etkinliğin devam edebileceğine dair göstergeler var.[.]GG “Realst’i teslim etmek için.
DarkTrace’in son bulguları, kampanyanın sadece aktif bir tehdit olarak kalmayıp yapay zeka, oyun, web3 ve sosyal medya ile ilgili daha geniş bir tema yelpazesini de benimsediğini gösteriyor.
Ayrıca, saldırganların, öncelikle doğrulanmış olan şirketlerle ve çalışanlarla ilişkili tehlikeye atılmış X hesaplarından yararlandıkları gözlemlenmiştir.
Gould, “X, Medium, GitHub ve kavram gibi yazılım şirketleri ile sık kullanılan sitelerden yararlanıyorlar.” Dedi. “Her şirketin çalışanları, ürün bloglarını, teknik incelemeleri ve yol haritalarını içeren profesyonel görünümlü bir web sitesi vardır.”
Bu tür olmayan bir şirket, blockchain destekli bir oyun olduğunu iddia eden ve çeşitli konferanslarda sundukları izlenimini vermek için X üzerinde meşru resimlerin dijital olarak değiştirilmiş versiyonlarını paylaşan Ebedi Decay (@metaVersEdecay). Nihai hedef, bu firmaları mümkün olduğunca gerçek görünmesini ve enfeksiyon olasılığını artıran çevrimiçi bir varlık oluşturmaktır.
Belirlenen diğer bazı şirketler aşağıda listelenmiştir –
- Perin (x Hesaplar: @Beesyncai, @aibeesync)
- Close Up (X Apurkts: @BuzzApp, @FrancescabuApp, @Francesca_francescap) 🙂
- CloudSign (x hesabı: @cloudSignapp)
- Dexis (x hesabı: @dexisapp)
- Klastai (x Hesap: Pollens AI’s X hesabına bağlantılar)
- Lunelior
- Nexloop (x hesabı: @Nexloopspace)
- Nexoracore
- Nexvoo (x hesabı: @Nexvoospace)
- Pollens AI (X Hesapları: @PollensApp, @Pollens_App)
- Slax (x hesaplar: @slaxapp, @slax_app, @slaxproject)
- Solune (x hesabı: @soluneapp)
- Swox (x hesaplar: @swoxapp, @swox_ai, @swox_app, @app_swox, @Appswox, @swoxproject, @Projectswox)
- Wasper (X Hesapları: @Wasperai, @Wasperspace)
- Yondaai (x hesabı: @Yondaspace)
Saldırı zincirleri, bu düşman kontrollü hesaplardan biri, bir kurbanı X, telgraf veya uyumsuzlukla mesajlar ve bir kripto para ödemesi karşılığında yazılımlarını test etmeye çağırır.
Hedef testi kabul ederse, kullanılan işletim sistemine bağlı olarak bir Windows elektron uygulaması veya bir Apple Disk Görüntüsü (DMG) dosyasını indirmek için çalışan tarafından sağlanan bir kayıt koduna girmeye teşvik edildikleri hayali bir web sitesine yönlendirilirler.
Windows sistemlerinde, kötü amaçlı uygulamayı açmak, makineyi gizlice profesörken kurbana bir Cloudflare doğrulama ekranı görüntüler ve bir MSI yükleyicisini indirip yürütmeye devam eder. Yükün kesin doğası belirsiz olmasına rağmen, bu aşamada bir bilgi çalmanın çalıştırıldığına inanılmaktadır.
Öte yandan, saldırının macOS sürümü, belgeleri ve web tarayıcılarından ve kripto cüzdanlarından elde edilen verileri sifon yapabilen bilinen bir Infostealer kötü amaçlı yazılım olan Atomic MacOS Stealer’ın (AMOS) dağıtımına yol açar ve ayrıntıları harici sunucuya sıyırır.
DMG ikili, uygulamanın kullanıcı girişinden otomatik olarak başlamasını sağlamak için bir lansman aracısı kullanarak sistemde kalıcılığı ayarlamaktan sorumlu bir kabuk komut dosyası almak için donanımlıdır. Komut dosyası ayrıca uygulama kullanımını ve kullanıcı etkileşimi zaman damgalarını kaydeden ve bunları uzak bir sunucuya ileten objektif bir C/Swift ikili olarak alır ve çalıştırır.
Darktrace ayrıca, kampanyanın, kurbanların Stealc, Amos ve Angel dracer gibi kötü amaçlı yazılımlar kurması için bilinen Crazy Evil adlı bir kaçak grubu tarafından düzenlenenlerle taktik benzerlikleri paylaştığını belirtti.
“Kampanyaların […] CrazyEvil’e veya herhangi bir alt takımla ilişkilendirilebilir, açıklanan teknikler doğada benzerdir, “dedi Gould.” Bu kampanya, tehdit aktörlerinin bu sahte şirketlerin kurbanlardan kripto para birimini çalmak için meşru görünmelerini sağlayacak çabalarını vurgulamaktadır.