ダークトレースは、暗号通貨を盗むマルウェアを展開するソーシャルエンジニアリング詐欺に警告しています。

サイバーセキュリティ会社ダークトレースの研究者たちは、脅威の行為者が被害者を暗号通貨を盗むマルウェアに感染させるために、ますます洗練されたソーシャルエンジニアリング戦術を使用していると警告しています。

最新のブログで、Darktraceの研究者たちは、詐欺師がAI、ゲーム、Web3スタートアップを装ってユーザーをだまし、マルウェアをダウンロードさせる巧妙なキャンペーンについて詳述しました。

このスキームは、正当なプラットフォームにホストされたプロジェクト文書や、確認済みおよび侵害されたXアカウントに依存して、合法性の幻想を作り出します。

報告によると、キャンペーンは通常、偽の人物がX、Telegram、またはDiscordで潜在的な被害者に接触することから始まります。新興スタートアップの代表者を装い、ソフトウェアのテストに対する報酬として暗号通貨の支払いなどのインセンティブを提供します。

被害者は、その後、正式なスタートアップを模倣するようにデザインされた洗練された会社のウェブサイトに誘導されます。そこにはホワイトペーパー、ロードマップ、GitHubのエントリー、さらには偽のマーチャンダイズストアまで揃っています。

ターゲットが悪意のあるアプリケーションをダウンロードすると、Cloudflareの検証画面が表示され、その間にマルウェアが静かにCPUの詳細、MACアドレス、ユーザーIDなどのシステム情報を収集します。この情報は、CAPTCHAトークンとともに攻撃者のサーバーに送信され、システムが有効なターゲットであるかどうかを判断します。

検証に成功すると、通常は情報窃取ツールである第二段階のペイロードが密かに配信され、そこから暗号通貨ウォレットの認証情報を含む機密データが抽出されます。

WindowsとmacOSの両方のバージョンのマルウェアが検出されており、一部のWindowsバリアントは正当な企業から盗まれたコード署名証明書を使用していることが知られています。

ダークトレースによると、このキャンペーンは「トラッファー」グループが使用する戦術に似ており、これはマルウェアのインストールを欺瞞的なコンテンツやソーシャルメディア操作を通じて生成するサイバー犯罪ネットワークです。

脅威の行為者は特定されていませんが、研究者は使用された手法が、暗号関連のコミュニティを標的にすることで知られるグループCrazyEvilに帰属するキャンペーンで見られるものと一致していると考えています。

「CrazyEvilとそのサブチームは、このブログで説明されているような偽のソフトウェア会社を作成し、TwitterやMediumを利用して標的を攻撃している」とDarktraceは書いており、このグループが「悪意のある活動から数百万ドルの収益を上げたと推定される」と付け加えた。

繰り返される脅威

今年、複数回にわたって類似のマルウェアキャンペーンが検出されており、北朝鮮に関連する作戦の一つが、暗号企業のmacOSデバイスを侵害するために偽のZoomアップデートを使用していることがわかりました。

攻撃者は、「NimDoor」と呼ばれる新しいマルウェア亜種を悪意のあるSDKアップデートを通じて配布していると報告されています。この多段階ペイロードは、ウォレットの認証情報、ブラウザデータ、暗号化されたTelegramファイルを抽出し、システム上での持続性を維持するように設計されています。

別の事例では、悪名高い北朝鮮のハッキンググループであるラザルスが、偽の面接セッション中に展開された新しいマルウェアストレイン「OtterCookie」を使用して、無防備な専門家を標的にするためにリクルーターを装っていることが判明しました。

今年の初め、ブロックチェーンフォレンジック会社マーケルサイエンスによる別の調査で、ソーシャルエンジニアリング詐欺が主にハッキングされたXアカウントを通じて有名人やテクノロジーリーダーを標的にしていることがわかりました。