Хакеры атаковали криптоспециалистов под видом венчурных инвесторов

Аналитики Moonlock Lab раскрыли масштабную атаку на Web3-разработчиков и криптоспециалистов. Хакеры маскируются под венчурных инвесторов и находят жертв в LinkedIn.

Злоумышленники хвалят проекты специалистов и предлагают сотрудничество. После этого отправляют ссылки на поддельные видеоконференции, которые заражают компьютеры вирусами.

Иллюзия легального бизнеса

Атакующие создали три фиктивных криптофонда: SolidBit Capital, MegaBit и Lumax Capital. Сайты организаций выглядят достоверно. Там указаны корпоративная история, портфолио инвестиций и список руководителей. Изображения лиц сотрудников сгенерировала нейросеть.

Мошенники пишут специалистам с фейковых аккаунтов. Они представляются топ-менеджерами этих фондов. Диалог начинается с комплиментов профессиональным заслугам жертвы. 

Заражение через ClickFix

Злоумышленники быстро переводят общение в мессенджеры и приглашают на видеозвонок. Жертва получает ссылку на сервис Calendly. Адрес перенаправляет пользователя на точную копию сайта Zoom, Google Meet или другого похожего сервиса.

На экране всплывает окно проверки Cloudflare. Система просит поставить галочку и подтвердить, что пользователь не робот. Это хакерская техника ClickFix. 

Клик по кнопке незаметно копирует вредоносный код в буфер обмена. Сайт показывает анимированную инструкцию с таймером. Пользователя просят открыть системный терминал, вставить скопированный текст и нажать Enter. 

Код автоматически распознает операционную систему:

• на Windows запускается скрытый процесс напрямую в оперативной памяти. Вирус не сохраняет файлы на жесткий диск, что позволяет обходить системы защиты;
• на macOS скрипт проверяет наличие Python, незаметно скачивает нужные библиотеки и укореняется в системе.

В некоторых случаях хакеры отправляли жертвам приложение, которое полностью копирует интерфейс настоящего Zoom на Mac. Программа имитирует окно авторизации, собирает пароли и отправляет их в Telegram-бот мошенников.

Связь с северокорейскими хакерами

Адреса поддельных сайтов зарегистрированы на имя Анатолия Бигдаша из Бостона, США. Эксперты сомневаются в реальности этого человека.

Исследователи заметили совпадение тактики с методами группировки UNC1069. Эта команда взламывает криптопроекты с 2018 года. Аналитики Mandiant ранее связывали ее с Северной Кореей. Преступники используют идентичные структуры вредоносных ссылок и аналогичные сценарии обмана через фейковые видеозвонки.

Для защиты от атак специалисты рекомендуют проверять даты регистрации доменов собеседников. Легальные сервисы никогда не просят пользователей вводить команды в терминал для подтверждения личности или запуска трансляции. Распознать подвох можно на этапе перехода по внешним ссылкам.

Напомним, в июне 2025 года инвестиционный партнер венчурной фирмы Hypersphere Мехди Фарук стал жертвой фишинговой атаки через поддельный звонок в Zoom.