Хакери під виглядом венчурних інвесторів полюють на криптоспеціалістів

Аналітики Moonlock Lab розкрили масштабну атаку на Web3-розробників і криптоспеціалістів. Хакери маскуються під венчурних інвесторів і знаходять жертв у LinkedIn.

Зловмисники вихваляють проєкти спеціалістів і пропонують співпрацю. Після цього надсилають посилання на фальшиві відеоконференції, які заражають комп’ютери шкідниками.

Ілюзія легального бізнесу

Атакувальники створили три фіктивні криптофонди: SolidBit Capital, MegaBit і Lumax Capital. Сайти організацій виглядають правдоподібно: там подано корпоративну історію, портфель інвестицій і список керівників. Зображення облич «співробітників» згенерував ШІ.

Шахраї пишуть спеціалістам із фейкових акаунтів, представляючись топменеджерами цих фондів. Діалог стартує з компліментів професійним здобуткам жертви.

Зараження через ClickFix

Зловмисники швидко переводять спілкування в месенджери та запрошують на відеодзвінок. Жертва отримує посилання на сервіс Calendly, яке перенаправляє на точну копію сайту Zoom, Google Meet або подібного сервісу.

На екрані з’являється вікно перевірки Cloudflare з проханням позначити галочкою, що користувач не робот. Це хакерська техніка ClickFix.

Клік по кнопці непомітно копіює шкідливий код у буфер обміну. Сайт показує анімовану інструкцію з таймером: користувачу пропонують відкрити системний термінал, вставити скопований текст і натиснути Enter.

Скрипт автоматично визначає операційну систему:

• на Windows запускається прихований процес безпосередньо в оперативній пам’яті. Вірус не зберігає файли на жорсткий диск, що дає змогу обходити системи захисту;
• на macOS сценарій перевіряє наявність Python, непомітно завантажує потрібні бібліотеки та закріплюється в системі.

У деяких випадках хакери надсилали жертвам застосунок, що повністю копіює інтерфейс справжнього Zoom на Mac. Програма імітує вікно авторизації, збирає паролі та відправляє їх у Telegram-бот зловмисників.

Зв’язок із північнокорейськими хакерами

Адреси фальшивих сайтів зареєстровані на ім’я Анатолія Бигдаша з Бостона, США. Експерти сумніваються в реальності цієї особи.

Дослідники помітили збіг тактики з методами угруповання UNC1069, яке зламує криптопроєкти з 2018 року. Аналітики Mandiant раніше пов’язували його з Північною Кореєю. Злочинці використовують ідентичні структури шкідливих посилань і подібні сценарії обману через фейкові відеодзвінки.

Для захисту від атак фахівці радять перевіряти дати реєстрації доменів співрозмовників. Легальні сервіси ніколи не просять користувачів вводити команди в термінал для підтвердження особи чи запуску трансляції. Підвох можна розпізнати вже на етапі переходу за зовнішніми посиланнями.

Нагадаємо, у червні 2025 року інвестиційний партнер венчурної фірми Hypersphere Мехді Фарук став жертвою фішингової атаки через підроблений дзвінок у Zoom.