Μια συντονισμένη εκστρατεία κακόβουλου λογισμικού στοχεύει επαγγελματίες κρυπτονομισμάτων και Web3 μέσω μιας προσεκτικά κατασκευασμένης αλυσίδας κοινωνικής μηχανικής, πλαστών ταυτοτήτων επιχειρηματικών κεφαλαίων και πλαστών συνδέσμων τηλεδιάσκεψης.
Παρακολούθησε για πρώτη φορά στις αρχές του 2026, η επιχείρηση χρησιμοποιεί μια τεχνική που ονομάζεται ClickFix για να χειραγωγήσει τα θύματα ώστε να εκτελούν κακόβουλες εντολές στους δικούς τους υπολογιστές – καθιστώντας τα τον μη ηθελημένο μηχανισμό παράδοσης για την επίθεση.
Η εκστρατεία ξεκινά στο LinkedIn, όπου ένας χειριστής που χρησιμοποιεί την περσόνα του Mykhailo Hureiev παρουσιάζεται ως Συνιδρυτής και Διευθύνων Συνεργάτης μιας πλασματικής επενδυτικής εταιρείας που ονομάζεται SolidBit Capital.
Τα μηνύματα αναφέρονται στο δημόσιο έργο του στόχου σε κοινότητες κρυπτογράφησης ή DeFi για την οικοδόμηση ψευδούς εμπιστοσύνης. Στη συνέχεια, η συνομιλία περιστρέφεται σε μια προγραμματισμένη κλήση, όπου ένας σύνδεσμος Calendly ανακατευθύνει σιωπηλά το θύμα σε μια πλαστή σελίδα συνάντησης Zoom που έχει σχεδιαστεί για την παροχή κακόβουλου λογισμικού.
Οι αναλυτές του Moonlock προσδιόρισαν την υποδομή πίσω από αυτήν την καμπάνια και εντόπισε κάθε κακόβουλο τομέα σε έναν μόνο καταχωρητή: Anatolli Bigdasch, που βρίσκεται στη Βοστώνη, Μασαχουσέτη, χρησιμοποιώντας το email anatollibigdasch0717[at]gmail[.]com.
Πέρα από το SolidBit Capital, οι ερευνητές αποκάλυψαν δύο ακόμη ψεύτικα μέτωπα εταιρειών – MegaBit και Lumax Capital – το καθένα με κομψούς ιστότοπους, φωτογραφίες από ομάδες που δημιουργήθηκαν από AI και κατασκευασμένα εταιρικά ιστορικά.
Ο τομέας lumax[.]κεφάλαιο, που καταχωρήθηκε στις 2 Φεβρουαρίου 2026, σηματοδοτεί ότι οι φορείς απειλής ετοιμάζουν μια νέα ταυτότητα για να αναπτύξουν μόλις το SolidBit εκτεθεί υπερβολικά.
Αυτή η καμπάνια παρέχει ωφέλιμα φορτία μεταξύ πλατφορμών τόσο για macOS όσο και για Windows. Στις 9 Ιανουαρίου 2026, ένα θύμα που χρησιμοποιούσε τη λαβή X @0xbigdan μοιράστηκε στιγμιότυπα οθόνης της πλήρους αλληλεπίδρασης, εκθέτοντας βασικές κόκκινες σημαίες — συμπεριλαμβανομένου του Hureiev που συμμετείχε σε ένα πραγματικό Google Meet, έμεινε εντελώς αθόρυβο και έκοψε τη στιγμή που το θύμα απώθησε.
Τα λειτουργικά μοτίβα αντικατοπτρίζουν στενά τη δραστηριότητα Mandiant που αποδίδεται στο UNC1069, έναν παράγοντα απειλής με ύποπτη σύνδεση με τη Βόρεια Κορέα που παρακολουθείται από το 2018, αν και η οριστική απόδοση εδώ παραμένει ανοιχτή.
Ο μηχανισμός παράδοσης ClickFix
Το ClickFix είναι αυτό που μετατρέπει μια αλληλεπίδραση ρουτίνας σε έναν πλήρη συμβιβασμό συσκευής. Όταν ένα θύμα κάνει κλικ στον ψεύτικο σύνδεσμο Zoom ή Google Meet, προσγειώνεται σε μια σελίδα που μοιάζει με πραγματικά καταστήματα — είτε The Digital Asset Conference III είτε ένα typosquat του Hedgeweek, μιας νόμιμης έκδοσης hedge fund.
Σε αυτήν τη σελίδα επικαλύπτεται ένα ψεύτικο πλαίσιο επαλήθευσης Cloudflare “Δεν είμαι ρομπότ”, κατασκευασμένο εξ ολοκλήρου από τοπικό HTML και CSS χωρίς πραγματική υποδομή Cloudflare πίσω από αυτό.
.webp.jpeg)
Τη στιγμή που ένας χρήστης κάνει κλικ στο πλαίσιο ελέγχου, η JavaScript γράφει σιωπηλά μια κακόβουλη εντολή στο πρόχειρό του μέσω navigator.clipboard.writeText().
Το σενάριο διαβάζει τη συμβολοσειρά User-Agent του προγράμματος περιήγησης για την αναγνώριση του λειτουργικού συστήματος και εξυπηρετεί ένα αντίστοιχο ωφέλιμο φορτίο.
Στα Windows, το πρόχειρο λαμβάνει μια εντολή PowerShell που κρύβει το παράθυρό του, παρακάμπτει τις πολιτικές εκτέλεσης και χρησιμοποιεί την Invoke-Expression για να εκτελέσει ένα απομακρυσμένο σενάριο στη μνήμη – χωρίς να αφήνει τίποτα στο δίσκο για να επισημάνετε το antivirus.
Στο macOS, ένα bash one-liner εγκαθιστά το Homebrew εάν η Python 3 απουσιάζει, κατεβάζει ένα σενάριο Python από τον διακομιστή εντολών και ελέγχου στο hedgeweeks[.]στο διαδίκτυο και το τρέχει με nohup bash για να διατηρήσετε τη διαδικασία ζωντανή ακόμα και μετά το κλείσιμο του τερματικού.
.webp.jpeg)
Οι ερευνητές του Moonlock ανέλυσαν δύο δυαδικά αρχεία Mach-O που συνδέονται με αυτήν την εκστρατεία. Το πρώτο είναι ένα σκοτεινό δυαδικό αρχείο 9,3 MB γεμάτο με κώδικα σκουπιδιών για να κατακλύσει τα εργαλεία στατικής ανάλυσης όπως το Ghidra.
Το δεύτερο είναι μια λιτή έκδοση 37,6 KB χωρίς ασάφεια με την ίδια λογική πυρήνα. Και οι δύο κατέγραψαν μηδενικές ανιχνεύσεις σε όλους τους προμηθευτές προστασίας από ιούς στο VirusTotal για εκτεταμένο χρονικό διάστημα, επιβεβαιώνοντας ότι η φοροδιαφυγή παίζει κεντρικό ρόλο στον τρόπο με τον οποίο αυτή η λειτουργία αποφεύγει τον εντοπισμό.
Οι επαγγελματίες Crypto και Web3 που λαμβάνουν αυτόκλητα μηνύματα LinkedIn σχετικά με επενδύσεις ή συνεργασία θα πρέπει να επαληθεύσουν πριν απαντήσουν. Ελέγξτε πότε καταχωρήθηκαν εταιρικοί τομείς και επιθεωρήστε τις φωτογραφίες της ομάδας για τη δημιουργία τεχνητής νοημοσύνης.
Εκτελέστε οποιονδήποτε εξωτερικό σύνδεσμο Zoom ή Calendly μέσω ενός σαρωτή URL πριν κάνετε κλικ. Ποτέ μην επικολλάτε εντολές σε ένα τερματικό ως μέρος οποιουδήποτε βήματος επαλήθευσης — καμία πραγματική υπηρεσία δεν το ζητά αυτό.
Αντιμετωπίστε την επείγουσα ανάγκη, την πίεση για αποχώρηση από το LinkedIn ή τις οδηγίες για εκτέλεση εντολών στη συσκευή σας ως κόκκινες σημαίες και αποδεσμευτείτε πριν ενεργήσετε.
