Moonlock Lab 最近的一项调查揭露了一场针对加密货币和 Web3 专业人士的高端恶意软件行动。攻击者使用伪造的 LinkedIn 身份冒充风险投资人(VC)来诱骗受害者进入伪装的视频会议链接。最终目标是通过这些链接将恶意软件部署到受害者的设备上,利用在加密领域寻求专业联系和商业机会的迫切需求。该行动以攻击者创建伪造的 LinkedIn 个人资料为开端,例如 Mykhailo Hureiev,被包装为 SolidBit Capital 的联合创始人,一家虚构的 VC 公司。
攻击者为潜在受害者量身定制信息,常引用他们的专业成就并提出在加密货币或去中心化金融(DeFi)领域的合作机会。一旦目标回应,攻击者引导他们通过 Calendly 安排视频通话,随后将受害者重定向到 Zoom 或 Google Meet 链接,该链接再引导至恶意载荷。这种社会工程学策略利用 VC 公司的职业信誉以及潜在合作的紧迫性,导致渴望抓住工作机会或投资讨论的目标高度参与。该行动使用 ClickFix 技巧,当目标试图访问视频会议链接时,会呈现一个伪造的浏览器验证页面(通常看起来像 Cloudflare CAPTCHA)。
该页面外观看起来合法,但其中包含恶意 JavaScript,悄无声息地向受害者的剪贴板写入有害命令。恶意软件设计用于在 macOS 与 Windows 上运行,并针对每个操作系统定制载荷。Windows 版本使用 PowerShell 脚本,而在 macOS 上则使用一个 Bash 一行命令,在执行隐藏载荷之前安装必要的依赖。Moonlock Lab 的调查显示,该行动的基础设施协同良好,使用了多个伪造公司,包括 SolidBit Capital、MegaBit 和 Lumax Capital。
WHOIS 数据将这些域名关联到一位名为 Anatolli Bigdasch 的注册人,位于马萨诸塞州波士顿,并关联一个 Gmail 地址。该身份可能是伪造或被盗,但它是恶意基础设施的锚点。该行动与被归因于以 DPRK 为导向的威胁行为者,尤其是 UNC1069 的攻击存在若干相似之处,他们以类似的社会工程学策略针对加密货币领域。这些相似性表明有财政动机驱动的威胁行为者在进行协同作业,尽管归因尚无定论。
发表评论