Злоумышленники атакуют владельцев криптовалют через фиктивные стартапы в сфере AI, игр и Web3. Кампания использует Telegram, Discord и X (бывший Twitter) для распространения вредоносов, крадущих цифровые активы. Цель — обман пользователей под видом перспективных технологических проектов.
Поддельные компании имитируют легитимность: создают профессиональные сайты, фальшивых сотрудников, блоги и дорожные карты. Для убедительности злоумышленники взламывают верифицированные аккаунты X и публикуют отредактированные изображения с конференций, например, Eternal Decay. Документация проектов размещается на Notion и GitHub.
В декабре 2024 кампания Meeten (Cado Security) маскировалась под видеоплатформы (meethub[.]gg), распространяя троян Realst. К марту 2024 активность зафиксировала Jamf Threat Labs. Сейчас атаки расширились на темы AI и Web3 и продолжаются (Darktrace).
Для Windows злоумышленники предлагают вредоносное Electron-приложение. После запуска оно показывает фальшивый экран проверки Cloudflare, анализирует систему и скрытно устанавливает MSI-инсталлятор с инфостилером.
На macOS жертвы загружают DMG-файл, внедряющий Atomic macOS Stealer (AMOS). Вор извлекает документы, данные браузеров, кошельки и отправляет на сервер. Для скрытности скрипт создает Launch Agent, запускающийся при входе в систему, а бинарный файл на Objective-C/Swift логирует действия пользователя.
Список фейковых компаний и аккаунтов X включает:
Полный перечень: Lunelior, NexLoop (@nexloopspace), NexoraCore, NexVoo (@Nexvoospace), Solune (@soluneapp), Wasper (@wasperAI, @WasperSpace), YondaAI (@yondaspace).
Тактика схожа с группировкой Crazy Evil Traffers, известной по вредоносам StealC, AMOS и Angel Drainer. По словам исследователя Darktrace Тары Гулд:
> «Операции имитируют AI-, игровые и Web3-компании, используя поддельные соцсети... Кампания демонстрирует, какие усилия прилагают злоумышленники для создания видимости легальности».
Основные угрозы: стилеры Realst и AMOS, фишинговые коды регистрации, усложненные версии вредоносов. Финал всегда один — кража криптовалюты.
Изображение носит иллюстративный характер
Поддельные компании имитируют легитимность: создают профессиональные сайты, фальшивых сотрудников, блоги и дорожные карты. Для убедительности злоумышленники взламывают верифицированные аккаунты X и публикуют отредактированные изображения с конференций, например, Eternal Decay. Документация проектов размещается на Notion и GitHub.
В декабре 2024 кампания Meeten (Cado Security) маскировалась под видеоплатформы (meethub[.]gg), распространяя троян Realst. К марту 2024 активность зафиксировала Jamf Threat Labs. Сейчас атаки расширились на темы AI и Web3 и продолжаются (Darktrace).
Для Windows злоумышленники предлагают вредоносное Electron-приложение. После запуска оно показывает фальшивый экран проверки Cloudflare, анализирует систему и скрытно устанавливает MSI-инсталлятор с инфостилером.
На macOS жертвы загружают DMG-файл, внедряющий Atomic macOS Stealer (AMOS). Вор извлекает документы, данные браузеров, кошельки и отправляет на сервер. Для скрытности скрипт создает Launch Agent, запускающийся при входе в систему, а бинарный файл на Objective-C/Swift логирует действия пользователя.
Список фейковых компаний и аккаунтов X включает:
- Eternal Decay (@metaversedecay)
- BeeSync (@BeeSyncAI, @AIBeeSync)
- Buzzu (@BuzzuApp, @AI_Buzzu, @AppBuzzu)
- Cloudsign (@cloudsignapp)
- Dexis (@DexisApp)
- Pollens AI (@pollensapp, @Pollens_app), связанные с KlastAI
- Slax (@SlaxApp, @Slax_app, @slaxproject)
- Swox (7 аккаунтов, включая @Swox_AI, @ProjectSwox).
Полный перечень: Lunelior, NexLoop (@nexloopspace), NexoraCore, NexVoo (@Nexvoospace), Solune (@soluneapp), Wasper (@wasperAI, @WasperSpace), YondaAI (@yondaspace).
Тактика схожа с группировкой Crazy Evil Traffers, известной по вредоносам StealC, AMOS и Angel Drainer. По словам исследователя Darktrace Тары Гулд:
> «Операции имитируют AI-, игровые и Web3-компании, используя поддельные соцсети... Кампания демонстрирует, какие усилия прилагают злоумышленники для создания видимости легальности».
Основные угрозы: стилеры Realst и AMOS, фишинговые коды регистрации, усложненные версии вредоносов. Финал всегда один — кража криптовалюты.
