Вредоносное ПО Meeten эксплуатирует приложения для собраний, чтобы атаковать криптовалютные кошельки
Новая кампания по распространению вредоносного ПО, получившая название «Meeten», нацелена на профессионалов в области Web3 и использует поддельное приложение для проведения встреч с целью кражи конфиденциальных данных и криптовалюты.
Спешите? Вот краткие факты!
- Вредоносное ПО Meeten атакует работников Web3, крадя криптовалюту и конфиденциальные данные.
- Злоумышленники используют контент, сгенерированный искусственным интеллектом, для создания поддельных убедительных корпоративных сайтов.
- У вредоносного ПО есть варианты как для macOS, так и для Windows для атак на различные платформы.
Обнаруженный лабораторией Cado Security, вредоносное ПО работает на платформах macOS и Windows и является частью сложной фишинговой атаки, предназначенной для внешней легитимности за счет использования контента, сгенерированного с помощью AI.
Атакующие, стоящие за Meeten, выдают себя за представителей фиктивной компании «Meetio», которая работала под множеством псевдонимов, включая Clusee и Meeten.gg.
Чтобы привлечь жертв, мошенники создают профессионально выглядящие веб-сайты, дополненные блогами, генерируемыми с помощью ИИ, и профилями в социальных сетях, чтобы установить доверие.
Жертвы обычно сталкиваются с злоумышленниками в Telegram, где кто-то выдает себя за знакомого контакта и приглашает обсудить бизнес-возможности через видеозвонок.
Жертве предлагается скачать приложение для встреч «Meeten» с веб-сайта поддельной компании. Однако вместо законного инструмента для конференций, это приложение является вором информации.
Программа-вредонос об designed для изъятия криптовалюты, учетных данных браузера и конфиденциальной персональной информации.
В некоторых случаях мошенники демонстрируют обширное планирование, отправляя жертвам инвестиционные презентации от своих собственных компаний, что еще больше убеждает их в подлинности мошенничества.
Жертвы сообщают о потере криптовалюты и других финансовых активов после загрузки приложения.
Примечательно, что сайты Meeten также встраивают JavaScript, способный крадать криптовалюту, хранимую в браузерах, даже если само вредоносное ПО не установлено. Это демонстрирует многоуровневый характер атаки, при которой активы жертв могут быть скомпрометированы на нескольких этапах.
Вариант macOS Meeten маскируется под 64-битный двоичный файл Rust под названием «fastquery». После запуска он запрашивает пароль пользователя через всплывающее окно под видом ошибки соединения.
Затем вредоносное ПО ищет конфиденциальную информацию, включая cookies браузера, данные автозаполнения и информацию кошелька из популярных криптовалютных кошельков, таких как Ledger и Trezor. Украденные данные упаковываются в zip-файл и отправляются на удаленный сервер.
Версия Meeten для Windows использует структуру приложений на базе Electron, чтобы извлекать данные из браузеров, учетных данных Telegram и криптовалютных кошельков. Она также применяет передовые методы, такие как компиляция JavaScript в байт-код, чтобы избежать обнаружения.
Применение искусственного интеллекта в этой кампании подчеркивает повышающуюся сложность киберугроз.
Созданный с помощью ИИ контент придает некую легитимность, что усложняет для пользователей обнаружение мошеннических сайтов. Это является частью растущего тренда, где ИИ используется не только для разработки вредоносного ПО, но и для создания убедительных социально-инженерных кампаний.
Одно из зарегистрированных мошенничеств включало взаимодействие жертвы с аккаунтом в Telegram, подражающим знакомому человеку, включая очень реалистичную презентацию инвестиций. Когда доверие было установлено, жертву перенаправили на сайт Meeten, где и было размещено вредоносное ПО.
Чтобы не стать жертвой, пользователям настоятельно рекомендуется проверять подлинность деловых контактов. Всегда сверяйте URL-адреса веб-сайтов, избегайте загрузки программного обеспечения из непроверенных источников и соблюдайте строгие практики кибербезопасности.
Оставьте комментарий
Отменить