报告称，社会工程活动通过虚假初创公司瞄准加密货币用户

Darktrace 的研究揭示，目前正有社交工程活动通过虚假初创公司针对加密货币用户展开。诈骗者使用伪造的社交媒体账户冒充人工智能、游戏和 Web3 公司。

项目文档托管在 Notion 和 GitHub 等合法平台上。该攻击活动自 2024 年 12 月以来持续变化，目标是全球的 Web3 员工。

虚假公司利用合法平台建立可信形象

威胁行为者创建虚假的初创公司，主题涵盖人工智能、游戏、视频会议软件等。Web3 和社交媒体公司等幌子有助于精准攻击加密货币用户。这些操作通常使用经过验证的被盗 X 账户联系受害者。

攻击者使用包括 Notion、Medium 和 GitHub 在内的合法平台来发布文档。这些看似专业的网站包含员工资料、产品博客、白皮书和开发路线图。X 个账户似乎已被入侵，但其粉丝数量较高，这进一步增强了其合法性的可信度。

这 骗子在社交媒体账户上保持活跃，发布软件开发更新。产品营销内容定期分享，营销活动跨平台开展。Eternal Decay 区块链游戏制作了虚假的会议演示照片，以提高可信度。

攻击者甚至篡改了意大利展会的照片，使其看起来像是公司演示文稿。Medium 上充斥着关于虚假软件产品和公司发展情况的博客文章。Notion 包含详细的产品路线图和全面的员工信息。

GitHub 仓库利用窃取的开源项目，展现技术软件方面的特色。代码名称会被更改，以使仓库看起来独一无二且原创。来自 Companies House 的公司注册信息会被链接到名称相似的公司。

Gitbook 详细列出了公司信息，并列出了虚假的投资者合作关系，以增强可信度。游戏截图来自 Zombie Within游戏以“永恒腐朽”内容的形式出现。一些假冒公司会建立商品商店来完善商业门面。

这些元素组合在一起，营造出令人信服的初创公司形象，从而提高感染成功率。受害者通过 X 消息、Telegram 或 Discord 与员工取得联系。假冒员工会以加密货币支付参与软件测试的费用。

针对 Windows 和 macOS 加密钱包用户的恶意软件

Windows 版本通过 Electron 应用分发，这些应用要求冒充员工输入注册码。用户输入通过社交媒体消息发送的代码后，即可下载 Bin 文件。恶意软件在目标系统上执行之前，会显示 CloudFlare 验证屏幕。

该恶意软件会收集用户名、CPU 详细信息、RAM 和图形等系统配置文件。在初步侦察阶段，它会收集 MAC 地址和系统 UUID。基于令牌的身份验证机制使用从应用程序启动器 URL 派生的令牌。

窃取的代码签名证书可以提高软件的合法性，并规避安全检测。江阴丰源电子有限公司和 Paperbucketmdb ApS 等公司的证书就曾被利用。Python 会被检索并存储在临时目录中，用于命令执行。

macOS 发行版以包含 Bash 脚本和二进制文件的 DMG 文件形式发布。脚本使用了诸如 Base64 编码和 XOR 加密之类的混淆技术。AppleScript 会自动挂载恶意软件并从临时目录运行可执行文件。

macOS 恶意软件会对 QEMU、VMWare 和 Docker 环境执行反分析检查。Atomic Stealer 的目标是浏览器数据、加密钱包、Cookie 和文档文件。被窃取的数据会被压缩并通过 POST 请求发送到服务器。

附加的 Bash 脚本通过登录时的启动代理配置建立持久性。恶意软件会持续记录活动应用程序的使用情况和窗口信息。用户交互时间戳会被记录并定期传输到收集服务器。

这两个版本都专门针对加密货币钱包数据进行盗窃。多家虚假公司分发相同的恶意软件，但品牌和主题各不相同。

在多个平台上发现的大量虚假公司名单

Darktrace 揭露了多家假冒公司正在参与此次社会工程活动。Pollens AI 使用 X 账户和其他网站冒充协作创作工具。Buzzu 使用与 Pollens 相同的徽标和代码，但以不同的品牌运营。

据报道，Cloudsign 为企业消费者提供文档签名平台服务。Swox 是 Web3 空间的下一代社交网络。KlastAI 与 Pollens 的账户和带有相同品牌的网站紧密相关。

Wasper 在各个领域使用与 Pollens 相同的徽标和 GitHub 代码。Lunelior 通过多个网站运营，服务于不同的特定用户群体。BeeSync 在 2025 年 1 月更名之前曾以 Buzzu 的别名运营。

Slax 在多个网站上托管社交媒体和以人工智能为中心的网站。Solune 通过社交媒体平台活动和即时通讯应用吸引用户。Eternal Decay 是一家区块链游戏公司，拥有合成会议演示。

Dexis 与 Swox 拥有相同的品牌和用户群。NexVoo 拥有多个域名和社交媒体平台管理。NexLoop 通过重命名 GitHub 存储库更名为 NexoraCore。

YondaAI 的目标客户是社交媒体网站用户和各种网站域名用户。每家企业都通过真实的平台集成流程拥有专业的前端。CrazyEvil 交易团伙自 2021 年以来一直在开展此类活动。

Recorded Future 估计 CrazyEvil 的恶意活动收入高达数百万美元。据称，该组织是针对加密货币用户、网红和 DeFi 专业人士的攻击的幕后黑手。这些活动展现出其不惜一切代价，试图伪装成合法的商业行为。

KEY 差异线：加密货币项目用来获得媒体报道的秘密工具