Компания Cado Security Labs обнаружила кампанию киберпреступников, нацеленную на людей в пространстве Web3 с помощью мошеннической платформы для видеоконференций под названием «Meeten», которая была активна с сентября 2024 года.
Описание
Вредоносное ПО, имеющее версии для Windows и macOS, нацелено на кражу криптовалютных активов, банковской информации, данных веб-браузера и учетных данных Keychain (на Mac). Cado Security Labs предупреждает, что злоумышленники, стоящие за Meeten, использовали различные названия для поддельного ПО, такие как Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg и Meetio. Злоумышленники подкрепляют легитимность мошенничества официальными сайтами и аккаунтами в социальных сетях, включая Twitter и Medium, наполненными контентом, сгенерированным искусственным интеллектом. Жертв заманивают на эти сайты с помощью фишинга или социальной инженерии и обманом заставляют загрузить вредоносное ПО Realst stealer. Мошенничество часто начинается с контактов на таких платформах, как Telegram, где злоумышленники выдают себя за знакомых жертвы, чтобы обсудить фиктивные возможности для бизнеса. В одном из сообщений злоумышленник отправил жертве инвестиционную презентацию ее компании, что свидетельствует об уровне изощренности. На сайтах Meeten также размещается код JavaScript, предназначенный для кражи криптовалюты непосредственно из веб-браузеров.
Для пользователей macOS вредоносная программа маскируется под пакет с именем 'CallCSSetup[.]pkg' (в прошлом использовались и другие имена файлов) и запрашивает у пользователя системный пароль, что приводит к повышению привилегий. Затем он выводит на экран ложное сообщение и в фоновом режиме похищает данные, включая учетные данные Telegram, данные банковских карт, информацию о браузере из различных веб-обозревателей, а также данные кошельков Ledger и Trezor. Похищенные данные архивируются и отправляются на удаленный сервер вместе с информацией об устройстве, такой как название сборки, версия и системные данные.
Windows-вариант Realst, распространяемый под именем 'MeetenApp[.]exe', использует украденный цифровой сертификат и содержит архив 7zip и приложение Electron, которое загружает дополнительные компоненты вредоносного ПО. Эта версия собирает аналогичную информацию, что и вариант для macOS, но отличается более сложным механизмом доставки, лучшими техниками обхода и устойчивостью за счет модификации реестра. Приложение, как утверждается, построено на фреймворке Electron, который используется для разработки кроссплатформенных настольных приложений на веб-языках, таких как Javascript. По данным Cado, злоумышленники все чаще создают вредоносное ПО с помощью приложений Electron.
Indicators of Compromise
Domains
- www.clusee.com
- www.meeten.us
- www.meetone.gg
MD5
- 09b7650d8b4a6d8c8fbb855d6626e25d
- 209af36bb119a5e070bad479d73498f7
- 6a925b71afa41d72e4a7d01034e8501b
- 9b2d4837572fb53663fffece9415ec5a
- d74a885545ec5c0143a172047094ed59