Ataki Malware Meeten Wykorzystują Aplikacje do Spotkań, by Zaatakować Portfele Kryptowalut

Nowa kampania malware o nazwie „Meeten” ma na celu profesjonalistów Web3, wykorzystując fałszywą aplikację do spotkań w celu kradzieży poufnych danych i kryptowalut.

Odkryty przez Cado Security Labs, malware działa na platformach macOS i Windows i jest częścią skomplikowanego oszustwa phishingowego, zaprojektowanego tak, aby wyglądać na prawdziwe za pomocą treści generowanych przez sztuczną inteligencję.

Napastnicy stojący za Meeten udają przedstawicieli fałszywej firmy, „Meetio”, która działała pod wieloma pseudonimami, w tym Clusee i Meeten.gg.

Aby przyciągnąć ofiary, oszuści tworzą profesjonalnie wyglądające strony internetowe, wraz z blogami generowanymi przez sztuczną inteligencję i profilami w mediach społecznościowych, aby zyskać wiarygodność.

Ofiary zazwyczaj są podchodzone za pośrednictwem Telegrama, często przez osobę udającą znaną osobę kontaktową, i są zapraszane do omówienia możliwości biznesowych podczas wideorozmowy.

Ofiarę kieruje się do pobrania aplikacji do spotkań „Meeten” ze strony internetowej fałszywej firmy. Jednak zamiast legalnego narzędzia do konferencji, aplikacja jest złodziejem informacji.

Oprogramowanie szkodliwe jest zaprojektowane do wydobywania kryptowaluty, danych uwierzytelniających przeglądarki i wrażliwych informacji osobistych.

W niektórych przypadkach oszuści wykazują rozległe planowanie, wysyłając ofiaram swoje prezentacje inwestycyjne z własnych firm, jeszcze bardziej przekonując ich o autentyczności oszustwa.

Ofiary zgłaszają utratę kryptowaluty i innych aktywów finansowych po pobraniu aplikacji.

Co ciekawe, strony Meeten zawierają również JavaScript zdolny do kradzieży kryptowaluty przechowywanej w przeglądarkach, nawet jeśli sam złośliwy oprogramowanie nie jest zainstalowany. Pokazuje to wielowarstwowy charakter ataku, gdzie aktywa ofiar mogą być naruszone na wielu etapach.

Wariant programu Meeten dla systemu macOS udaje 64-bitowy plik binarny Rust o nazwie „fastquery”. Po uruchomieniu prosi o hasło użytkownika za pomocą wyskakującego okienka pod pretekstem błędu połączenia.

Następnie malware przeszukuje system w poszukiwaniu wrażliwych danych, w tym ciasteczek przeglądarki, danych do autouzupełnienia oraz danych portfeli kryptowalutowych, takich jak Ledger i Trezor. Skradzione dane są pakowane do pliku zip i wysyłane do zdalnego serwera.

Wersja Meeten dla systemu Windows korzysta ze struktury aplikacji opartej na Electron, aby uzyskać dane z przeglądarek, danych uwierzytelniających Telegrama i portfeli kryptowalut. Wykorzystuje również zaawansowane techniki, takie jak kompilowanie JavaScriptu do kodu bajtowego, aby uniknąć wykrycia.

Wykorzystanie sztucznej inteligencji w tej kampanii podkreśla rosnącą zaawansowanie cyberzagrożeń.

Treści generowane przez sztuczną inteligencję dodają powłokę legitymacji, utrudniając użytkownikom wykrywanie fałszywych stron internetowych. To reprezentuje rosnący trend, w którym AI jest używane nie tylko do tworzenia złośliwego oprogramowania, ale także do tworzenia przekonujących kampanii inżynierii społecznej.

Jedno zgłoszone oszustwo polegało na tym, że ofiara została skontaktowana przez konto na Telegramie naśladujące znajomego, wraz z pozornie autentyczną prezentacją inwestycyjną. Gdy zaufanie zostało nawiązane, ofiara została skierowana na stronę Meeten, na której znajdowało się złośliwe oprogramowanie.

Aby uniknąć padnięcia ofiarą, użytkownikom zaleca się sprawdzanie autentyczności kontaktów biznesowych. Zawsze sprawdzaj adresy URL stron internetowych, unikaj pobierania oprogramowania z niezweryfikowanych źródeł i przestrzegaj ścisłych praktyk dotyczących cyberbezpieczeństwa.