Pesquisadores da empresa de segurança cibernética Darktrace Warn Ameaças atores usarão táticas de engenharia social cada vez mais sofisticadas para infectar vítimas com malware de roubo de criptografia.
Em seu último blog, os pesquisadores do Darktrace detalharam uma campanha elaborada que acaba sendo uma startup em IA, jogos e web3 para indicar os usuários a baixar software malicioso.
Esse esquema depende de contas X validadas e comprometidas, semelhantes aos documentos do projeto hospedados em plataformas legítimas, para criar uma ilusão de legitimidade.
O relatório diz que a campanha geralmente começa com um imitador alcançando vítimas em potencial de X, telegramas ou discórdios. Eles representam como representantes de startups emergentes e fornecem incentivos, como pagamentos de criptomoeda em troca de software.
As vítimas são direcionadas a sites de empresas sofisticadas projetadas para imitar startups legítimas com artigos brancos, roteiros, entradas do GitHub e até lojas falsas de mercadorias.
Quando o destino baixa um aplicativo malicioso, a tela de verificação do Cloudflare é exibida, durante a qual o malware coleta silenciosamente informações do sistema, como detalhes da CPU, endereço MAC e ID do usuário. Essas informações, juntamente com o token Captcha, são enviadas ao servidor do atacante para determinar se o sistema é um destino viável.
Se a verificação for bem -sucedida, uma carga útil do segundo estágio, que geralmente é um Steeler de informações, será entregue à furtividade para extrair dados sensíveis que contêm credenciais de carteira de criptomoeda.
As versões Windows e MacOS de malware foram detectadas, e algumas variações do Windows são conhecidas por usar certificados de assinatura de código roubados de empresas legítimas.
De acordo com o Darktrace, a campanha é semelhante às táticas usadas pelo grupo “Traffic People”. Esta é uma rede cibernética especializada na geração de instalações de malware por meio de conteúdo incorreto e manipulação de mídia social.
Os atores de ameaças permanecem desconhecidos, mas os pesquisadores acreditam que os métodos utilizados são consistentes com os vistos em campanhas vistas em campanhas induzidas por loucura, conhecidas por segmentar comunidades relacionadas a criptografia.
“A Crazyville e suas subsenhas criaram empresas de software falsas e usaram vítimas-alvo do Twitter e Medium, semelhantes às mencionadas neste blog”, escreveu Darktrace, acrescentando que o grupo “estima-se ter ganho milhões de dólares em receita de atividades maliciosas”.
Ameaças repetidas
Campanhas semelhantes de malware foram detectadas em várias ocasiões ao longo do ano, com uma operação relacionada à Coréia do Norte usando atualizações de zoom falsas para comprometer os dispositivos MacOS das empresas de criptografia.
O atacante teria implantado um novo estoque de malware chamado “Nimdoor”, que foi entregue através de uma atualização maliciosa do SDK. As cargas úteis em vários estágios são projetadas para extrair credenciais da carteira, dados do navegador e arquivos de telegrama criptografados, mantendo a persistência do sistema.
Outro exemplo mostra que o infame grupo de hackers norte -coreano Lazaro postou sua posição como um recrutador visando especialistas inocentes usando um novo estoque de malware chamado “OtterCookies” que foi implantado durante uma sessão de entrevista falsa.
No início deste ano, outro estudo da empresa forense da blockchain, Markle Science, descobriu que os golpes de engenharia social têm como alvo líderes de celebridades e tecnologia por meio de contas hackeadas.
