Wouter Hoeffnagel - 17 juli 2025

Cybercriminelen richten pijlen op cryptogebruikers

Cybercriminelen richten zich in toenemende mate op cryptogebruikers met een geraffineerde social engineering-campagne. Hierbij worden nep-startups opgezet rond thema's zoals AI, gaming en Web3 om slachtoffers te verleiden tot het downloaden van schadelijke software die hun crypto wallets leeghaalt.

Cybercriminelen richten pijlen op cryptogebruikers image

De aanvallers maken gebruik van geloofwaardige nepbedrijven en misbruiken legitieme platforms. In december 2024 werd de Meeten-campagne beschreven door Cado Security Labs, waarbij aanvallers zich voordeden als vergadersoftwarebedrijven. Slachtoffers werden uitgenodigd voor online meetings en installeerden ongemerkt de infostealer Realst, vermomd als videobelsoftware, met als doel cryptovaluta te stelen.

Steeds geraffineerder

Uit onderzoek van Darktrace blijkt dat deze vorm van oplichting nog steeds gaande is en dat cybercriminelen steeds geraffineerder te werk gaan. Ze creëren professioneel ogende websites, publiceren whitepapers en projectplannen via legitieme platforms zoals Notion, Medium en GitHub, en gebruiken gestolen of gecompromitteerde X-accounts, vaak met een verificatiebadge, om geloofwaardig over te komen. Sommige accounts lijken te zijn gehackt en hebben veel volgers, waardoor ze moeilijk te onderscheiden zijn van echte bedrijven.

Om de schijn van legitimiteit te versterken, voegen de aanvallers valse bedrijfsregistraties toe, richten ze neponderdelen zoals merchandisewebshops in en kopiëren ze open source-projecten op GitHub onder een nieuwe naam. Dit maakt het voor gebruikers vrijwel onmogelijk om onderscheid te maken tussen echt en nep. Deze nep-startups posten actief updates op sociale media en bloggen over niet-bestaande producten. Zo werd in een campagne een nep-blockchaingame 'Eternal Decay' gepromoot met foto's van fictieve conferentie-optredens, terwijl deze game in werkelijkheid niet bestaat.

Software testen

De aanval start vaak met een bericht via X, Telegram of Discord, waarin een 'medewerker' van de nep-startup vraagt of het slachtoffer nieuwe software wil testen in ruil voor een cryptobetaling. Slachtoffers krijgen toegang tot een downloadpagina en een registratiesleutel. Afhankelijk van het besturingssysteem wordt een Windows Electron-app of een macOS DMG aangeboden. Beide versies bevatten malware die systeeminformatie steelt en crypto wallets compromitteert. Op Windows wordt gebruikgemaakt van gestolen softwarecertificaten en technieken om detectie te ontwijken, zoals obfuscatie en anti-sandboxing. Bij macOS-versies is vaak de beruchte Atomic Stealer ingebouwd, die browsergegevens, cookies, documenten en crypto wallets buitmaakt.

De campagne vertoont sterke overeenkomsten met de werkwijze van zogeheten traffer groups: georganiseerde cybercriminele netwerken die internetgebruikers via misleidende websites, advertenties of valse downloads naar malware leiden. Deze groepen werken vaak hiërarchisch met beheerders en 'traffers' die verkeer genereren via bijvoorbeeld SEO, YouTube-advertenties of nepsoftware. De gestolen gegevens en inloggegevens worden vervolgens verkocht op criminele marktplaatsen.

Een beruchte traffer group, CrazyEvil, werd begin 2025 geïdentificeerd door Recorded Future. Deze groep is sinds 2021 actief en richt zich vooral op cryptocurrencygebruikers, influencers en gaminggemeenschappen. Ze zouden miljoenen dollars hebben verdiend met dit soort aanvallen. CrazyEvil en aanverwante subteams creëren, net als in deze campagne, nepsoftwarebedrijven en misbruiken platforms als X en Medium om slachtoffers te benaderen. Hoewel niet bevestigd is dat CrazyEvil direct achter deze specifieke campagne zit, zijn de gebruikte technieken zeer vergelijkbaar.

MSP Show 18/06/2025 t/m 31/07/2025 BN + BW
Gartner BN tm 12-11-2025 - 3

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!