Что общего у BeeSync, Buzzu и ещё 14 компаний, о которых вы никогда не слышали? Правильно — они на вас зарабатывают

Кибермошенники активизировали масштабную кампанию, нацеленную на владельцев криптовалют. Злоумышленники создают поддельные стартапы в сферах искусственного интеллекта, гейминга и Web3, чтобы выманить у жертв цифровые активы. Их цель — убедить пользователей скачать вредоносное ПО, которое маскируется под легитимные приложения для Windows и macOS.

По данным компании Darktrace, организаторы атак создают фейковые компании, тщательно прорабатывая их онлайн-образ. Они оформляют страницы в X* (бывший Twitter), GitHub, Notion и Medium, публикуют «дорожные карты», «техническую документацию» и изображения с конференций, обработанные в графических редакторах. Для повышения правдоподобия используются даже взломанные верифицированные аккаунты настоящих сотрудников IT-компаний.

Изначально схема стартовала ещё в марте 2024 года, когда специалисты Jamf Threat Labs зафиксировали домен «meethub[.]gg», через который распространялось вредоносное ПО Realst. Позднее кампания получила кодовое имя Meeten, после того как была обнаружена имитация видеоконференц-платформы. Под видом онлайн-встречи якобы по поводу инвестиций пользователям предлагали загрузить «клиент», а на деле — вредоносную программу. Этот подход был активно использован и в декабре того же года.

Сейчас активность злоумышленников не только не утихла, но и усилилась. Атаки стали ещё более изощрёнными. В числе фальшивых компаний, упоминаемых в отчёте Darktrace, значатся BeeSync, Buzzu, Cloudsign, Dexis, KlastAI, Lunelior, NexLoop, NexoraCore, NexVoo, Pollens AI, Slax, Solune, Swox, Wasper, YondaAI и Eternal Decay. Эти псевдостартапы притворяются разработчиками прогрессивных ИИ-решений, блокчейн-игр и платформ Web3.

Ключевым инструментом для выхода на жертву остаются мессенджеры, X, Telegram и Discord. Потенциальной жертве предлагается протестировать приложение за вознаграждение в криптовалюте. Далее пользователь перенаправляется на созданный злоумышленниками сайт, где вводит «регистрационный код» и скачивает вредоносное ПО — под Windows это файл формата MSI, под macOS — образ DMG.

На Windows-системах сначала отображается поддельный экран Cloudflare, в то время как программа незаметно загружает основной вредонос. Характеристики конечного ПО точно не установлены, однако известно, что оно профилирует устройство и запускает похититель данных.

На macOS вредонос устанавливает Atomic macOS Stealer ( AMOS ), предназначенный для кражи документов, данных из браузеров и криптовалютных кошельков. Программа разворачивается с помощью shell-скрипта, который добавляет приложение в автозагрузку через Launch Agent. Дополнительно загружается бинарный файл на Objective-C/Swift, отслеживающий действия пользователя и передающий отчёты на удалённый сервер.

По техническим признакам атаки напоминают деятельность группировки Crazy Evil, известной распространением StealC, AMOS и Angel Drainer. Несмотря на отсутствие прямых доказательств, специалисты Darktrace подчёркивают схожесть тактик.

Суть происходящего сводится к одному — злоумышленники используют весь арсенал современных соцсетей, инструментов для презентации проектов и визуального обмана, чтобы создать максимально правдоподобный образ стартапа и незаметно внедрить вредоносное ПО. В результате пользователи теряют контроль над своими устройствами и криптоактивами.

* Социальная сеть запрещена на территории Российской Федерации.