loading...
Darktrace的研究揭示,当前正有一场大规模针对加密货币用户的社交工程攻击活动在持续进行。攻击者通过创建伪装成人工智能、游戏及Web3领域的虚假初创公司,结合社交媒体与正规技术平台,精心构建可信身份。
这些诈骗组织广泛使用Notion、GitHub、Medium和Gitbook等主流工具发布看似专业的项目文档,包括白皮书、产品路线图、员工信息以及开发日志。部分被入侵的X账户拥有数万粉丝,进一步增强了其表面合法性。
攻击者还篡改真实展会照片,如意大利某科技展现场,制造虚假演示场景;并通过伪造的博客文章、商品商店和投资者合作声明,完善其商业门面。所有这些手段共同营造出高度逼真的初创企业形象,诱导用户信任。
骗子篡改意大利展览照片:来源
攻击者分发两种版本的恶意软件,分别针对Windows和macOS系统。Windows版本以Electron应用形式传播,要求用户输入从社交媒体获取的注册码,并通过CloudFlare验证屏幕伪装合法。
恶意软件在运行初期收集系统配置信息,包括用户名、硬件参数、MAC地址和系统唯一标识符。其代码签名证书来自江阴丰源电子有限公司和Paperbucketmdb ApS等真实企业,用于绕过安全检测。
macOS版本以DMG文件分发,内含经过Base64编码和XOR加密的Bash脚本,配合AppleScript实现自动挂载与执行。该程序会检测QEMU、VMWare和Docker环境,防止被分析,并重点窃取浏览器数据、加密钱包凭证、Cookie及敏感文档。
附加脚本通过登录时启动代理机制实现持久化驻留,记录用户操作时间戳并定期上传至远程服务器。多个虚假公司共用同一套恶意软件代码,仅更换品牌名称与主题。
Darktrace确认了包括Pollens AI、Buzzu、Cloudsign、Swox、KlastAI、Wasper、Lunelior、BeeSync、Slax、Solune、“Eternal Decay”、Dexis、NexVoo、NexLoop(后更名为NexoraCore)、YondaAI在内的数十家虚假实体参与此行动。
这些公司虽品牌各异,但共享徽标、代码仓库、社交媒体账号与域名结构。例如,BeeSync曾以Buzzu名义运营,于2025年1月更名;CrazyEvil团伙自2021年起从事此类活动,累计获利达数百万美元。
所有项目均具备专业前端设计,旨在吸引开发者、投资者及早期用户。受害者通常通过X消息、Telegram或Discord与“员工”联系,被诱导支付加密货币以参与所谓“测试版软件”。
此次事件凸显了加密货币生态中日益严峻的安全挑战。随着市场趋势转向去中心化应用与链上交互,社会工程攻击正变得更具隐蔽性与组织性。用户应提高警惕,避免点击不明链接,谨慎对待任何要求转账或提供私钥的请求。
538
713
407
876
365
380
874
318
211
346
