Компания Cado Security Labs обнаружила новую вредоносную кампанию, нацеленную на профессионалов в сфере Web3 через фальшивое приложение для видеоконференций под названием Meeten. С сентября 2024 года злоумышленники активно распространяют вредоносное ПО, маскирующееся под легитимный сервис для онлайн-встреч, но на самом деле предназначенное для кражи криптовалютных активов, банковских данных, информации из веб-браузеров и учетных записей Keychain на устройствах Mac.
Описание
Аналитики Cado Security Labs выявили, что преступники используют несколько доменных имен для распространения вредоносного ПО, включая Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg и Meetio. Для придания доверия своим схемам злоумышленники создают официальные сайты и аккаунты в социальных сетях, таких как Twitter и Medium, наполняя их контентом, сгенерированным искусственным интеллектом. Жертв заманивают на эти ресурсы с помощью фишинговых атак или методов социальной инженерии, убеждая загрузить вредоносный стилер Realst.
Особенно тревожным аспектом кампании является ее изощренность. Например, злоумышленники выходят на контакт с жертвами через Telegram, выдавая себя за знакомых или деловых партнеров, чтобы обсудить фиктивные бизнес-возможности. В одном из случаев преступники отправили жертве инвестиционную презентацию ее же компании, что свидетельствует о глубокой подготовке и сборе информации о целях. Кроме того, на сайтах Meeten размещен вредоносный JavaScript-код, предназначенный для кражи криптовалюты напрямую из браузеров пользователей.
Для пользователей macOS вредоносное ПО распространяется в виде пакета с названием 'CallCSSetup[.]pkg' (ранее использовались и другие имена файлов). После установки программа запрашивает системный пароль, что позволяет ей получить повышенные привилегии. Затем на экране появляется ложное сообщение, в то время как в фоновом режиме вредоносное ПО похищает данные, включая учетные записи Telegram, информацию о банковских картах, данные браузеров и сведения о криптокошельках Ledger и Trezor. Похищенная информация архивируется и отправляется на удаленный сервер вместе с техническими данными устройства.
Версия для Windows, распространяемая под именем 'MeetenApp[.]exe', использует украденный цифровой сертификат и включает в себя архив 7zip и приложение Electron, которое загружает дополнительные вредоносные компоненты. Этот вариант собирает те же данные, что и macOS-версия, но отличается более сложным механизмом доставки, улучшенными методами обхода защиты и повышенной устойчивостью благодаря модификации реестра.
Cado Security Labs отмечает, что злоумышленники все чаще используют фреймворк Electron для создания кроссплатформенного вредоносного ПО. Этот инструмент позволяет разрабатывать приложения на веб-языках, таких как JavaScript, что делает его удобным для киберпреступников, стремящихся к максимальной скрытности и эффективности своих атак.
Эксперты рекомендуют пользователям Web3 и криптоиндустрии проявлять повышенную осторожность при установке новых приложений, особенно если они связаны с видеоконференциями или финансовыми сервисами. Важно проверять источники загрузки, избегать перехода по подозрительным ссылкам и использовать двухфакторную аутентификацию для защиты своих активов. В случае подозрения на заражение следует немедленно проверить систему с помощью антивирусного ПО и сменить все пароли.
Данная кампания демонстрирует, насколько изощренными становятся методы киберпреступников, использующих социальную инженерию и современные технологии для обмана пользователей. Без должной осведомленности и мер предосторожности даже опытные профессионалы могут стать жертвами подобных атак.
Индикаторы компрометации
Domains
- www.clusee.com
- www.meeten.us
- www.meetone.gg
MD5
- 09b7650d8b4a6d8c8fbb855d6626e25d
- 209af36bb119a5e070bad479d73498f7
- 6a925b71afa41d72e4a7d01034e8501b
- 9b2d4837572fb53663fffece9415ec5a
- d74a885545ec5c0143a172047094ed59
