報告稱，社會工程活動通過虛假初創公司瞄準加密貨幣用戶

項目文檔託管在 Notion 和 GitHub 等合法平台上。 該攻擊活動自 2024 年 12 月以來持續變化，目標是全球的 Web3 員工。

虛假公司利用合法平台建立可信形象

威脅行為者創建虛假的初創公司，主題涵蓋人工智能、遊戲、視頻會議軟件等。 Web3 和社交媒體公司等幌子有助於精準攻擊加密貨幣用戶。 這些操作通常使用經過驗證的被盜 X 賬戶聯繫受害者。

攻擊者使用包括 Notion、Medium 和 GitHub 在內的合法平台來發布文檔。 這些看似專業的網站包含員工資料、產品博客、白皮書和開發路線圖。 X 個賬戶似乎已被入侵，但其粉絲數量較高，這進一步增強了其合法性的可信度。

這 騙子在社交媒體賬戶上保持活躍，發佈軟件開發更新。 產品營銷內容定期分享，營銷活動跨平台開展。 Eternal Decay 區塊鏈遊戲製作了虛假的會議演示照片，以提高可信度。

攻擊者甚至篡改了意大利展會的照片，使其看起來像是公司演示文稿。 Medium 上充斥著關於虛假軟件產品和公司發展情況的博客文章。 Notion 包含詳細的產品路線圖和全面的員工信息。

GitHub 倉庫利用竊取的開源項目，展現技術軟件方面的特色。 代碼名稱會被更改，以使倉庫看起來獨一無二且原創。 來自 COMPanies House 的公司註冊信息會被鏈接到名稱相似的公司。

Gitbook 詳細列出了公司信息，並列出了虛假的投資者合作關係，以增強可信度。 遊戲截圖來自 ZOMbie Within遊戲以“永恆腐朽”內容的形式出現。 一些假冒公司會建立商品商店來完善商業門面。

這些元素組合在一起，營造出令人信服的初創公司形象，從而提高感染成功率。 受害者通過 X 消息、TELegram 或 Discord 與員工取得聯繫。 假冒員工會以加密貨幣支付參與軟件測試的費用。

針對 Windows 和 macOS 加密錢包用戶的惡意軟件

Windows 版本通過 Electron 應用分發，這些應用要求冒充員工輸入註冊碼。 用戶輸入通過社交媒體消息發送的代碼後，即可下載 Bin 文件。 惡意軟件在目標系統上執行之前，會顯示 CloudFlare 驗證屏幕。

該惡意軟件會收集用戶名、CPU 詳細信息、RAM 和圖形等系統配置文件。 在初步偵察階段，它會收集 MAC 地址和系統 UUID。 基於令牌的身份驗證機制使用從應用程序啟動器 URL 派生的令牌。

竊取的代碼簽名證書可以提高軟件的合法性，並規避安全檢測。 江陰豐源電子有限公司和 Paperbucketmdb ApS 等公司的證書就曾被利用。 PYTHon 會被檢索並存儲在臨時目錄中，用於命令執行。

macOS 發行版以包含 Bash 腳本和二進製文件的 DMG 文件形式發布。 腳本使用了諸如 Base64 編碼和 XOR 加密之類的混淆技術。 AppleScrIPt 會自動掛載惡意軟件並從臨時目錄運行可執行文件。

macOS 惡意軟件會對 QEMU、VMWare 和 Docker 環境執行反分析檢查。 ATOMic Stealer 的目標是瀏覽器數據、加密錢包、Cookie 和文檔文件。 被竊取的數據會被壓縮並通過 POST 請求發送到服務器。

附加的 Bash 腳本通過登錄時的啟動代理配置建立持久性。 惡意軟件會持續記錄活動應用程序的使用情況和窗口信息。 用戶交互時間戳會被記錄並定期傳輸到收集服務器。

這兩個版本都專門針對加密貨幣錢包數據進行盜竊。 多家虛假公司分發相同的惡意軟件，但品牌和主題各不相同。

在多個平台上發現的大量虛假公司名單

Darktrace 揭露了多家假冒公司正在參與此次社會工程活動。 POLlens AI 使用 X 賬戶和其他網站冒充協作創作工具。 Buzzu 使用與 Pollens 相同的徽標和代碼，但以不同的品牌運營。

據報導，Cloudsign 為企業消費者提供文檔簽名平台服務。 Swox 是 Web3 空間的下一代社交網絡。 KlastAI 與 Pollens 的賬戶和帶有相同品牌的網站緊密相關。

Wasper 在各個領域使用與 PollENS 相同的徽標和 GitHub 代碼。 Lunelior 通過多個網站運營，服務於不同的特定用戶群體。 BeeSync 在 2025 年 1 月更名之前曾以 Buzzu 的別名運營。

Slax 在多個網站上託管社交媒體和以人工智能為中心的網站。 SOLune 通過社交媒體平台活動和即時通訊應用吸引用戶。 Eternal Decay 是一家區塊鏈遊戲公司，擁有合成會議演示。

Dexis 與 Swox 擁有相同的品牌和用戶群。 NexVoo 擁有多個域名和社交媒體平台管理。 NexLoop 通過重命名 GitHub 存儲庫更名為 NexoraCORE。

YondaAI 的目標客戶是社交媒體網站用戶和各種網站域名用戶。 每家企業都通過真實的平台集成流程擁有專業的前端。 CrazyEvil 交易團伙自 2021 年以來一直在開展此類活動。

Recorded Future 估計 CrazyEvil 的惡意活動收入高達數百萬美元。 據稱，該組織是針對加密貨幣用戶、網紅和 DeFi 專業人士的攻擊的幕後黑手。 這些活動展現出其不惜一切代價，試圖偽裝成合法的商業行為。

KEY 差異線：加密貨幣項目用來獲得媒體報導的秘密工具