暗号通貨ユーザーが、偽のスタートアップ企業を利用したソーシャルエンジニアリングキャンペーンの標的となっており、WindowsおよびmacOSシステムの両方からデジタル資産を抜き取るマルウェアをダウンロードさせる手口が使われています。
「これらの悪意ある活動は、AI、ゲーミング、Web3企業になりすまし、NotionやGitHubなどの正規プラットフォームにホストされた偽のソーシャルメディアアカウントやプロジェクト文書を利用しています」とDarktraceの研究者Tara GouldはレポートでThe Hacker Newsに語りました。
この巧妙なソーシャルメディア詐欺は以前から存在しており、2024年12月の以前のバージョンでは、偽のビデオ会議プラットフォームを利用して、Telegramなどのメッセージングアプリで被害者に投資機会の話を持ちかけ、会議に参加させる手口が使われていました。
被害者が偽の会議ソフトウェアをダウンロードすると、Realstなどの情報窃取型マルウェアにこっそり感染させられました。このキャンペーンは、Cado Security(今年初めにDarktraceが買収)が、偽のビデオ会議サービスの一つにちなんで「Meeten」と名付けました。
さらに、2024年3月にはJamf Threat Labsが、Realstを配布するために「meethub[.]gg」というドメインが使われていたことを明らかにしており、この活動が少なくともその頃から続いている可能性を示しています。
Darktraceの最新の調査によると、このキャンペーンは依然として脅威であり続けているだけでなく、AI、ゲーミング、Web3、ソーシャルメディアなど、より幅広いテーマを取り入れるようになっています。
さらに、攻撃者は主に認証済みの企業や従業員に関連するXアカウントを乗っ取り、標的となるユーザーに接触して偽企業の信頼性を装っていることが確認されています。
「彼らはX、Medium、GitHub、Notionなど、ソフトウェア企業がよく使うサイトを利用しています」とGould氏は述べています。「各企業には従業員、製品ブログ、ホワイトペーパー、ロードマップを含むプロフェッショナルな外観のウェブサイトがあります。」
そのような実在しない企業の一つがEternal Decay(@metaversedecay)で、ブロックチェーンを活用したゲームと称し、X上で正規の写真をデジタル加工したものを共有して、さまざまなカンファレンスで発表しているように見せかけています。最終的な目的は、これらの企業が本物であるかのようなオンライン上の存在感を築き、感染の可能性を高めることです。
その他に確認された企業の一部は以下の通りです:
- BeeSync(Xアカウント: @BeeSyncAI, @AIBeeSync)
- Buzzu(Xアカウント: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)
- Cloudsign(Xアカウント: @cloudsignapp)
- Dexis(Xアカウント: @DexisApp)
- KlastAI(Xアカウント: Pollens AIのXアカウントへのリンク)
- Lunelior
- NexLoop(Xアカウント: @nexloopspace)
- NexoraCore
- NexVoo(Xアカウント: @Nexvoospace)
- Pollens AI(Xアカウント: @pollensapp, @Pollens_app)
- Slax(Xアカウント: @SlaxApp, @Slax_app, @slaxproject)
- Solune(Xアカウント: @soluneapp)
- Swox(Xアカウント: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)
- Wasper(Xアカウント: @wasperAI, @WasperSpace)
- YondaAI(Xアカウント: @yondaspace)
攻撃の連鎖は、これらの攻撃者が管理するアカウントのいずれかが、X、Telegram、またはDiscordを通じて被害者に連絡し、暗号通貨での報酬と引き換えにソフトウェアのテストを依頼することから始まります。
標的がテストに同意すると、偽のウェブサイトに誘導され、従業員から提供された登録コードを入力して、使用しているオペレーティングシステムに応じてWindows用のElectronアプリケーションまたはAppleのディスクイメージ(DMG)ファイルをダウンロードするよう促されます。
Windowsシステムでは、悪意あるアプリケーションを開くとCloudflareの認証画面が表示されますが、その裏でマシンのプロファイリングを行い、MSIインストーラーをダウンロード・実行します。ペイロードの正確な内容は不明ですが、この段階で情報窃取型マルウェアが実行されていると考えられています。
一方、macOS版の攻撃では、Atomic macOS Stealer(AMOS)と呼ばれる既知の情報窃取型マルウェアが展開され、ドキュメントやウェブブラウザ、暗号通貨ウォレットからデータを抜き取り、外部サーバーに送信します。
DMGバイナリには、Launch Agentを使ってユーザーログイン時に自動起動するよう永続化を設定するシェルスクリプトを取得する機能も備わっています。また、このスクリプトはアプリケーションの利用状況やユーザーの操作タイムスタンプを記録し、リモートサーバーに送信するObjective-C/Swiftバイナリも取得・実行します。
Darktraceはまた、このキャンペーンが、被害者にStealC、AMOS、Angel Drainerなどのマルウェアをインストールさせることで知られるCrazy Evilと呼ばれるtraffersグループによるものと戦術的な類似点があることも指摘しています。
「これらのキャンペーンがCrazyEvilまたはその下部チームに帰属するかどうかは不明ですが、記載された手法は類似しています」とGould氏は述べています。「このキャンペーンは、脅威アクターが被害者から暗号通貨を盗むために、これらの偽企業をいかに本物らしく見せかける努力をしているか、そして新しい回避型マルウェアのバージョンを利用しているかを浮き彫りにしています。」
翻訳元: https://thehackernews.com/2025/07/fake-gaming-and-ai-firms-push-malware.html