Negli ultimi mesi si è diffusa una sofisticata campagna di ingegneria sociale che prende di mira gli utenti di criptovalute, sfruttando aziende fittizie di gaming, intelligenza artificiale e Web3 per distribuire malware sia su sistemi Windows che macOS. Questi attacchi si sviluppano attraverso canali di comunicazione popolari come Telegram, Discord e il social network X, dove i cybercriminali impersonano aziende legate al mondo dell'AI e dei videogiochi per ottenere la fiducia delle vittime.
Le operazioni malevole si presentano con siti web creati ad arte, profili social professionali e documentazione ospitata su piattaforme riconosciute come Notion e GitHub. Tra le aziende fittizie più attive figurano nomi come BeeSync, Buzzu, Cloudsign, Dexis, KlastAI, NexLoop, Pollens AI, Slax, Solune, Swox, Wasper e YondaAI, tutte con vari account social apparentemente legittimi. Il modus operandi prevede che i truffatori contattino direttamente le vittime, proponendo la possibilità di testare nuovi software in cambio di pagamenti in criptovaluta.
Dopo aver accettato l'offerta, la vittima viene reindirizzata su siti web falsi dove riceve un codice di registrazione per scaricare l'applicazione, che può essere un installer per Windows o un file DMG per macOS. Sui sistemi Windows, viene mostrata una schermata di verifica Cloudflare mentre in background viene scaricato ed eseguito un file MSI che verosimilmente contiene uno stealer in grado di sottrarre informazioni sensibili, tra cui dati di wallet di criptovalute.
Per quanto riguarda macOS, l'attacco sfrutta il noto malware Atomic macOS Stealer (AMOS), capace di rubare documenti, dati dei browser e credenziali delle crypto wallet. Il malware assicura la persistenza sfruttando uno script che installa un Launch Agent, permettendo così l'avvio automatico del malware a ogni accesso dell'utente e l'invio di dati sensibili a server remoti.
Un aspetto particolarmente insidioso di questa campagna è l'utilizzo di account X compromessi e verificati di aziende reali o dipendenti, per conferire maggiore credibilità alle comunicazioni e aumentare la possibilità che la vittima cada nella trappola. Le tecniche impiegate ricordano quelle del gruppo criminale Crazy Evil, già noto per campagne simili basate su malware come StealC, AMOS e Angel Drainer.
Questo scenario conferma come il panorama delle minacce legate alle criptovalute evolva rapidamente, con cybercriminali sempre più abili nel costruire una reputazione digitale credibile per le loro aziende fittizie, con l’unico obiettivo di sottrarre asset digitali agli utenti meno avveduti.
