Хакери атакували криптоспеціалістів під виглядом венчурних інвесторів - ForkLog: криптовалюти, ІІ, сингулярність, майбутнє

# Хакери атакували криптоспеціалістів під виглядом венчурних інвесторів

Аналізатори Moonlock Lab розкрили масштабну атаку на Web3-розробників і криптоспеціалістів. Хакери маскуються під венчурних інвесторів і знаходять жертв у LinkedIn.

Зловмисники хвалять проекти фахівців і пропонують співпрацю. Після цього надсилають посилання на підроблені відеоконференції, які заражають комп’ютери вірусами.

Ілюзія легального бізнесу

Атакуючі створили три фіктивних криптофонди: SolidBit Capital, MegaBit і Lumax Capital. Сайти організацій виглядають достовірно. Там вказані корпоративна історія, портфоліо інвестицій і список керівників. Зображення облич співробітників згенерувала нейромережа.

Джерело: Moonlock Lab. Мошенники пишуть фахівцям з фейкових акаунтів. Вони представляються топ-менеджерами цих фондів. Діалог починається з компліментів професійним заслугам жертви.

Зараження через ClickFix

Зловмисники швидко переводять спілкування у месенджери і запрошують на відеодзвінок. Жертва отримує посилання на сервіс Calendly. Адреса перенаправляє користувача на точну копію сайту Zoom, Google Meet або іншого схожого сервісу.

На екрані з’являється вікно перевірки Cloudflare. Система просить поставити галочку і підтвердити, що користувач не робот. Це хакерська техніка ClickFix.

Клік по кнопці непомітно копіює шкідливий код у буфер обміну. Сайт показує анімовану інструкцію з таймером. Користувача просять відкрити системний термінал, вставити скопійований текст і натиснути Enter.

Код автоматично розпізнає операційну систему:

• на Windows запускається прихований процес безпосередньо у оперативній пам’яті. Вірус не зберігає файли на жорсткий диск, що дозволяє обійти системи захисту;
• на macOS скрипт перевіряє наявність Python, непомітно завантажує потрібні бібліотеки і закорінюється в системі.

Джерело: Moonlock Lab. В деяких випадках хакери надсилали жертвам додаток, який повністю копіює інтерфейс справжнього Zoom на Mac. Програма імітує вікно авторизації, збирає паролі і надсилає їх у Telegram-бота шахраїв.

Зв’язок із північнокорейськими хакерами

Адреси підробних сайтів зареєстровані на ім’я Анатолія Бігдаша з Бостона, США. Експерти сумніваються у реальності цієї особи.

Джерело: Moonlock Lab. Дослідники зауважили збіг тактики з методами групи UNC1069. Ця команда зламує криптопроєкти з 2018 року. Аналізатори Mandiant раніше пов’язували її із Північною Кореєю. Злочинці використовують ідентичні структури шкідливих посилань і подібні сценарії обману через фейкові відеодзвінки.

Для захисту від атак фахівці радять перевіряти дати реєстрації доменів співрозмовників. Легальні сервіси ніколи не просять користувачів вводити команди у термінал для підтвердження особистості або запуску трансляції. Обман можна розпізнати на етапі переходу за зовнішніми посиланнями.

Нагадаємо, у червні 2025 року інвестиційний партнер венчурної компанії Hypersphere Мехді Фарук став жертвою фішингової атаки через підроблений дзвінок у Zoom.