Криптоспециалистов атакуют через фейковые венчурные фонды и поддельные видеозвонки

Исследователи из Moonlock Lab выявили крупную вредоносную кампанию, нацеленную на Web3-разработчиков и криптоспециалистов. Злоумышленники выдают себя за представителей венчурных фондов, находят жертв через LinkedIn и заражают их компьютеры посредством поддельных сервисов видеоконференций.

Фиктивные фонды с нейросетевыми лицами

Для придания легитимности операции хакеры зарегистрировали три несуществующих криптовалютных фонда — SolidBit Capital, MegaBit и Lumax Capital. Каждый из них получил профессионально оформленный веб-сайт с корпоративной историей, инвестиционным портфолио и списком руководства. Фотографии якобы реальных сотрудников были сгенерированы нейросетью.

С фейковых аккаунтов в LinkedIn мошенники связывались со специалистами, представляясь топ-менеджерами указанных фондов. Разговор начинался с похвалы в адрес профессиональных достижений потенциальной жертвы и предложения о сотрудничестве.

Почему это важно

Атака демонстрирует качественный скачок в уровне социальной инженерии, направленной на криптоиндустрию. Создание целых экосистем фиктивных компаний — с сайтами, биографиями и портфолио — значительно усложняет распознавание мошенничества даже для опытных специалистов. Кроме того, прослеживается связь с группировками, которые систематически атакуют криптопроекты на протяжении многих лет.

Механизм заражения: техника ClickFix

После установления контакта злоумышленники переводят общение в мессенджеры и предлагают провести видеозвонок. Жертве отправляется ссылка на сервис планирования Calendly, которая перенаправляет на точную копию Zoom, Google Meet или аналогичного сервиса.

На поддельном сайте появляется окно проверки Cloudflare — пользователя просят поставить галочку и подтвердить, что он не бот. Именно в этом заключается суть техники ClickFix: нажатие на кнопку незаметно копирует вредоносный код в буфер обмена.

Далее сайт отображает анимированную инструкцию с таймером, предлагая открыть системный терминал, вставить скопированный текст и выполнить команду. Вредоносный код адаптируется под операционную систему:

• Windows — запускается скрытый процесс непосредственно в оперативной памяти, без сохранения файлов на диск, что позволяет обойти антивирусные системы;
• macOS — скрипт проверяет наличие Python, загружает необходимые библиотеки и закрепляется в системе.

В ряде случаев жертвам отправлялось отдельное приложение, полностью имитирующее интерфейс настоящего Zoom для Mac. Программа воспроизводила окно авторизации, перехватывала пароли и передавала их в Telegram-бот, контролируемый атакующими.

Следы ведут в Северную Корею

Домены поддельных сайтов зарегистрированы на имя некоего Анатолия Бигдаша из Бостона, США. Специалисты ставят под сомнение реальность этого человека.

Исследователи обнаружили значительное совпадение тактик с группировкой UNC1069, которая взламывает криптопроекты с 2018 года. Аналитики Mandiant ранее связывали эту группу с Северной Кореей. Совпадения касаются структур вредоносных ссылок и сценариев обмана через фейковые видеоконференции.

Как защититься

Специалисты по кибербезопасности рекомендуют обращать внимание на дату регистрации доменов собеседников. Ни один легитимный сервис не требует от пользователя ввода команд в терминале для подтверждения личности или начала видеотрансляции. Распознать угрозу можно уже на этапе перехода по внешним ссылкам.

В июне 2025 года инвестиционный партнер венчурной фирмы Hypersphere Мехди Фарук пострадал от аналогичной фишинговой атаки через поддельный звонок в Zoom.