Специалисты по кибербезопасности из компании Darktrace предупредили о появлении изощренного метода кражи криптоактивов, при котором злоумышленники используют социальную инженерию и выдают себя за легитимные проекты в сфере искусственного интеллекта, игр и Web3. Цель атакующих — заманить пользователей в загрузку вредоносного ПО под видом тестирования софта с обещанием криптонаград.
Как выяснили исследователи, злоумышленники связываются с потенциальными жертвами через социальные сети и мессенджеры, включая X (бывший Twitter), Telegram и Discord. Используя скомпрометированные аккаунты и реальные дорожные карты стартапов, опубликованные в открытых источниках, аферисты создают иллюзию доверия, предлагая участие в тестировании программного обеспечения.
Пользователей перенаправляют на фишинговые сайты, точь-в-точь копирующие настоящие страницы компаний. После загрузки вредоносного приложения жертва видит стандартный экран верификации Cloudflare, за которым незаметно происходит сбор системных данных — информации о процессоре, MAC-адресе и уникальных идентификаторах устройства. Эта информация передается злоумышленникам, которые затем извлекают данные о криптокошельках и другие конфиденциальные сведения.
Отмечается, что вирус существует в версиях как для Windows, так и для macOS. По предварительной оценке Darktrace, схема напоминает тактику хакерской группы Crazy Evil, которая также маскируется под работодателей в криптосфере, размещая фальшивые вакансии и атакуя соискателей.