Криптокошельки под атакой: раскрыты случаи мошенничества в социальных сетях

Пользователи криптовалюты снова оказались под прицелом всё более изощрённой киберпреступной кампании. Согласно новым данным Darktrace, злоумышленники используют социальные сети, поддельные стартапы и легальные платформы, чтобы обманом заставить пользователей загрузить вредоносное ПО, опустошающее их кошельки.

Эта сложная схема социальной инженерии, впервые обнаруженная в конце 2024 года, превратилась в разветвлённую сеть поддельных личностей, имитирующих технологические компании и вооружённых каналов связи, предназначенных для кражи цифровых активов. Имитируя эстетику и поведение настоящего ИИ, игры и Web3 компаниям-мошенникам удалось обойти защиту сотен ничего не подозревающих пользователей.

Знакомая, но развивающаяся угроза

Почти год назад компания Cado Security Labs, занимающаяся кибербезопасностью, раскрыли кампанию, нацеленную Web3 сотрудников мошеннические платформы для проведения встреч. Кампания, известная как «Meeten», использовала поддельное программное обеспечение для видеоконференций для распространения вредоносного ПО Realst. Жертв приглашали на поддельные встречи под видом обсуждения партнёрских или инвестиционных проектов. После загрузки программного обеспечения их устройства подвергались взлому.

Darktrace подтвердила, что эта кампания останется активной и в 2025 году. Тактика распространилась за пределы видеоприложений и теперь охватывает фальшивые ИИ, игры и социальные сети. 

Тара Гулд, исследователь Darktrace, заявил что эти вредоносные операции «выдают себя за ИИ, игры и Web3 «фирмы», использующие поддельные аккаунты социальных сетей и проектную документацию, размещенную на легитимных платформах.

Вымышленные стартапы, реальные последствия

Схема действий пугающе детализирована. Киберпреступники создают целые фальшивые компании, с убедительными веб-сайтами, публикациями в блогах, whitepaperи даже поддельные профили сотрудников. X (ранее Twitter), Medium, GitHub и Notion обычно используются для размещения контента проекта, технической документации и дорожных карт.

Некоторые из самых убедительных мошеннических схем основаны на взломанных верифицированных аккаунтах X, принадлежащих реальным людям или компаниям. Эти аккаунты с тысячами подписчиков и многолетней активностью придают мошенникам убедительность. 

После создания поддельной компании злоумышленники разворачивают полномасштабную маркетинговую кампанию. Публикации о важных этапах разработки программного обеспечения, участиях в мероприятиях и магазинах товаров для повышения достоверности заполняют их ленты.

Ярким примером является вымышленная студия блокчейн-игр под названием « Вечный распад ». Фейковая компания использовала отредактированные фотографии, чтобы создать видимость своего выступления на крупных конференциях, хотя такой игры не существовало. Её аккаунт на GitHub содержал клонированные проекты с открытым исходным кодом, замаскированные под оригинальный код. Даже листинг в Регистрационной палате Великобритании был подделан путём ссылки на реальную фирму с похожим названием.

Как выбираются жертвы

Атака часто начинается на таких платформах, как X, Discord или Telegram. Предполагаемый сотрудник связывается с жертвой и предлагает ей возможность протестировать раннее программное обеспечение в обмен на криптовалюту. 

Жертве перенаправляют на страницу загрузки, предоставляют регистрационный код и предлагают установить приложение. В зависимости от системы, она скачивает либо DMG-файл для macOS, либо приложение для Windows Electron. Эти двоичные файлы содержат Realst или аналогичное вредоносное ПО для кражи данных.

Оттуда вредоносное ПО незаметно проникает в систему. Оно извлекает данные браузера, токены аутентификации, пароли и, что самое главное, приватные ключи от криптокошельков. Пользователи часто не осознают, что их кошельки были взломаны, пока их средства не исчезают.

Вариант GrassCall

Вектор атаки не остался неизменным. Связанная с этим кампания, получившая название « GrassCall "недавно появился, ориентированный на соискателей работы в Web3 Вредоносное ПО было встроено в мошенническое приложение для проведения встреч, которое продвигалось через поддельные объявления о вакансиях и собеседованиях. Жертвы, загружавшие это ПО, неосознанно предоставляли вредоносному ПО доступ к конфиденциальным данным на своих устройствах.

Этот вариант, приписываемый русскоязычной «команде торговцев людьми», известной как Crazy Evil, использовал тщательно продуманные фейковые компании. В одном случае мошенники выдавали себя за «ChainSeeker.io», создавая целый набор фейковых аккаунтов в социальных сетях и профессиональных сайтов. Они даже платили за премиум-объявления на сайтах по трудоустройству, таких как LinkedIn, WellFound и CryptoJobsList, чтобы заманить Web3 профессионалов в свою ловушку.

Жертвы, принявшие участие в этих фейковых интервью, вскоре обнаружили, что их кошельки опустели. Пострадавшие создали группу поддержки в Telegram, предлагающую советы по удалению вредоносных программ и восстановлению системы.

Тревожный звонок на 650 миллионов долларов

Риск не ограничивается отдельными лицами. Федеральные власти также пресекли крупномасштабные мошенничества, использующие криптовалютный рынок. Ранее в этом году Министерство юстиции США обнародовало обвинительные заключения против Майкла Шеннона Симса и Хуана Карлоса Рейносо, предполагаемых вдохновителей OmegaPro. глобальная крипто-пирамида .

Работая с 2019 по 2023 год, OmegaPro обещала 300% доходности за 16 месяцев от торговли на Форекс. Инвесторов завлекали через социальные сети: Симс и Рейносо демонстрировали роскошный образ жизни и даже проецировали логотип компании на Бурдж-Халифу, чтобы создать впечатление легитимности.

Начальник отдела уголовных расследований Налоговой службы США Гай Фикко заявил, что афера «обещала финансовую свободу, но обернулась финансовым крахом». Теперь обоим мужчинам предъявлены обвинения в сговоре с целью совершения мошенничества с использованием электронных средств связи и отмывания денег, что грозит каждому до 20 лет тюрьмы.

Заявив о взломе, OmegaPro перенаправила жертв на новую платформу Broker Group, с которой пользователи также не смогли вывести свои средства.

Роль социальных сетей в финансовых преступлениях

Устойчивость и эффективность подобных мошеннических схем подчёркивают тёмный потенциал социальных сетей в содействии финансовым преступлениям. Объединяя подтверждённые аккаунты, контент, генерируемый искусственным интеллектом, клонированные веб-сайты и украденный код, эти мошенники создают экосистемы, максимально имитирующие реальные компании. Использование таких платформ, как GitHub и Notion, добавляет технической легитимности их уловкам.

Между тем, такие платформы, как X и Discord, позволяют напрямую общаться с потенциальными жертвами. Неформальный характер этих платформ часто снижает скептицизм, особенно в сфере криптовалют и Web3 сообщества, где взаимодействие и сотрудничество являются обычным явлением.

Предупреждения и защитные меры

Эксперты по кибербезопасности рекомендуют пользователям проявлять бдительность при получении предложений о бета-тестировании или работе в криптопроектах. Даже если проект кажется законным, пользователям следует перепроверить документы компании, регистрацию доменов и историю аккаунтов в социальных сетях. Следует полностью избегать загрузки программного обеспечения из неизвестных источников, если только это не подтверждено через доверенные каналы.

Жоао Ведсон, генеральный директор Alphartal, предупредил пользователей, что «подобные атаки небольшого масштаба могут легко остаться незамеченными», но всё же представляют серьёзную угрозу. Имитируя действия реальных компаний-разработчиков ПО, эти кампании эксплуатируют не только технические уязвимости, но и человеческое доверие.

В итоге

Кража криптовалютных кошельков посредством изощрённых мошеннических схем в социальных сетях — явление не новое, но оно становится всё более опасным и масштабным. Развитие искусственного интеллекта и децентрализованных финансов расширило возможности для атак злоумышленников, позволив им строить изощрённые мошеннические схемы на разных платформах.

Последние данные Darktrace показывают, что угроза не только сохраняется, но и развивается: фиктивные компании и механизмы распространения вредоносного ПО становятся всё сложнее. В условиях фиктивных собеседований, мошеннических загрузок программного обеспечения и мошеннических криптовалютных платформ пользователи должны проявлять всё большую осторожность в криптовалютном мире.

Пока платформы не усилят верификацию и аутентификацию аккаунтов, а пользователи не станут более строгими правилами безопасности, эти изощрённые схемы, вероятно, продолжат приносить жертвы. Как всегда, если что-то в криптовалютах звучит слишком хорошо, чтобы быть правдой, вероятно, так оно и есть.