Вредоносное ПО для кражи криптовалют, выдающее себя за приложение для встреч, нацелено на профессионалов Web3

security IOC

Компания Cado Security Labs обнаружила кампанию киберпреступников, нацеленную на людей в пространстве Web3 с помощью мошеннической платформы для видеоконференций под названием «Meeten», которая была активна с сентября 2024 года.

Описание

Вредоносное ПО, имеющее версии для Windows и macOS, нацелено на кражу криптовалютных активов, банковской информации, данных веб-браузера и учетных данных Keychain (на Mac). Cado Security Labs предупреждает, что злоумышленники, стоящие за Meeten, использовали различные названия для поддельного ПО, такие как Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg и Meetio. Злоумышленники подкрепляют легитимность мошенничества официальными сайтами и аккаунтами в социальных сетях, включая Twitter и Medium, наполненными контентом, сгенерированным искусственным интеллектом. Жертв заманивают на эти сайты с помощью фишинга или социальной инженерии и обманом заставляют загрузить вредоносное ПО Realst stealer. Мошенничество часто начинается с контактов на таких платформах, как Telegram, где злоумышленники выдают себя за знакомых жертвы, чтобы обсудить фиктивные возможности для бизнеса. В одном из сообщений злоумышленник отправил жертве инвестиционную презентацию ее компании, что свидетельствует об уровне изощренности. На сайтах Meeten также размещается код JavaScript, предназначенный для кражи криптовалюты непосредственно из веб-браузеров.

Для пользователей macOS вредоносная программа маскируется под пакет с именем 'CallCSSetup[.]pkg' (в прошлом использовались и другие имена файлов) и запрашивает у пользователя системный пароль, что приводит к повышению привилегий. Затем он выводит на экран ложное сообщение и в фоновом режиме похищает данные, включая учетные данные Telegram, данные банковских карт, информацию о браузере из различных веб-обозревателей, а также данные кошельков Ledger и Trezor. Похищенные данные архивируются и отправляются на удаленный сервер вместе с информацией об устройстве, такой как название сборки, версия и системные данные.

Windows-вариант Realst, распространяемый под именем 'MeetenApp[.]exe', использует украденный цифровой сертификат и содержит архив 7zip и приложение Electron, которое загружает дополнительные компоненты вредоносного ПО. Эта версия собирает аналогичную информацию, что и вариант для macOS, но отличается более сложным механизмом доставки, лучшими техниками обхода и устойчивостью за счет модификации реестра. Приложение, как утверждается, построено на фреймворке Electron, который используется для разработки кроссплатформенных настольных приложений на веб-языках, таких как Javascript. По данным Cado, злоумышленники все чаще создают вредоносное ПО с помощью приложений Electron.

Indicators of Compromise

Domains

  • www.clusee.com
  • www.meeten.us
  • www.meetone.gg

MD5

  • 09b7650d8b4a6d8c8fbb855d6626e25d
  • 209af36bb119a5e070bad479d73498f7
  • 6a925b71afa41d72e4a7d01034e8501b
  • 9b2d4837572fb53663fffece9415ec5a
  • d74a885545ec5c0143a172047094ed59
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий