报告揭示：社会工程攻击通过虚假初创公司瞄准加密货币用户

Darktrace 的研究显示，当前存在一场针对加密货币用户的社会工程活动，诈骗者利用伪造的初创公司和社交媒体账户冒充人工智能、游戏及 Web3 公司。

这些虚假项目的文档托管在 Notion 和 GitHub 等合法平台上。自 2024 年 12 月以来，该攻击活动持续演变，目标锁定全球 Web3 行业从业者。

虚假公司利用合法平台建立可信形象

威胁行为者创建了涵盖人工智能、游戏、视频会议软件等领域的虚假初创公司。通过伪装成 Web3 和社交媒体公司，这些诈骗者精准地将加密货币用户作为攻击目标。他们通常使用被盗并验证过的 X 账户联系潜在受害者。

攻击者利用 Notion、Medium 和 GitHub 等平台发布看似专业的项目文档，包括员工资料、产品博客、白皮书以及开发路线图。一些被入侵的 X 账户尽管粉丝数量庞大，但已被用于恶意目的，进一步增强了其表面合法性。

诈骗者保持活跃的社交媒体账户，定期更新软件开发进展，并开展跨平台营销活动。例如，“Eternal Decay”区块链游戏制作了虚假的会议演示照片以提高可信度。

攻击者还篡改了意大利展会的照片，使其看起来像是真实的公司演示。Medium 上充斥着关于虚假软件产品的博客文章，而 Notion 则包含详细的产品路线图和员工信息。

GitHub 仓库通过窃取开源项目代码进行伪装，更改代码名称后使仓库显得独特且原创。Companies House 的注册信息被用来链接到名称相似的公司。

Gitbook 列出了虚假的投资者合作关系，增强公司的可信度。游戏截图来自《Zombie Within》游戏，以“永恒腐朽”的内容形式出现。一些假冒公司甚至建立了商品商店，进一步完善其商业门面。

所有这些元素共同营造出令人信服的初创公司形象，从而提高了感染成功率。受害者通过 X 消息、Telegram 或 Discord 与所谓的“员工”取得联系，并被告知可以通过加密货币支付参与软件测试费用。

针对 Windows 和 macOS 加密钱包用户的恶意软件

Windows 版本通过 Electron 应用分发，要求用户输入从社交媒体消息发送的注册码。下载的 Bin 文件在执行前会显示 CloudFlare 验证屏幕。

恶意软件会收集系统配置文件，如用户名、CPU 详细信息、RAM 和图形数据，并在初步侦察阶段获取 MAC 地址和系统 UUID。基于令牌的身份验证机制派生自应用程序启动器 URL。

窃取的代码签名证书被用来提升软件的合法性，并规避安全检测。江阴丰源电子有限公司和 Paperbucketmdb ApS 等公司的证书曾被滥用。Python 被检索并存储在临时目录中，用于命令执行。

macOS 发行版以 DMG 文件形式发布，包含 Bash 脚本和二进制文件。脚本采用了 Base64 编码和 XOR 加密等混淆技术。AppleScript 自动挂载恶意软件并运行可执行文件。

macOS 恶意软件会对 QEMU、VMWare 和 Docker 环境执行反分析检查。Atomic Stealer 的目标是浏览器数据、加密钱包、Cookie 和文档文件，窃取的数据会被压缩并通过 POST 请求发送到服务器。

附加的 Bash 脚本通过登录时的启动代理配置建立持久性，并记录用户交互时间戳，定期传输至收集服务器。

两个版本的恶意软件均专注于窃取加密货币钱包数据。多家虚假公司分发相同的恶意软件，但品牌和主题有所不同。

在多个平台上发现的大量虚假公司名单

Darktrace 揭露了多家参与此次社会工程活动的虚假公司。Pollens AI 使用 X 账户和其他网站冒充协作创作工具，Buzzu 则使用相同徽标和代码，但以不同品牌运营。

Cloudsign 提供企业文档签名服务，Swox 是下一代 Web3 社交网络，KlastAI 与 Pollens 的账户和网站紧密相关。

Wasper 在各领域使用与 Pollens 相同的徽标和 GitHub 代码；Lunelior 服务于不同特定用户群体；BeeSync 曾以 Buzzu 名义运营，并于 2025 年 1 月更名。

Slax 托管社交媒体和人工智能相关网站，Solune 通过即时通讯应用吸引用户。“Eternal Decay”是一家拥有合成会议演示的区块链游戏公司。

Dexis 与 Swox 共享相同品牌和用户群，NexVoo 拥有多个域名和社交媒体平台管理。NexLoop 更名为 NexoraCore。

YondaAI 的目标客户为社交媒体和多域名用户，每家公司都展示出专业前端。CrazyEvil 团伙自 2021 年以来从事此类活动，收入高达数百万美元。

KEY 差异线：加密货币项目用来获得媒体报道的秘密工具