Pesquisadores de cibersegurança alertaram para uma nova campanha de golpe que utiliza aplicativos falsos de videoconferência para entregar um stealer de informações chamado Realst, visando pessoas que trabalham com Web3 sob o disfarce de reuniões de negócios falsas.
"Os atores de ameaças por trás do malware criaram empresas falsas usando IA para aumentar sua legitimidade", disse a pesquisadora da Cado Security, Tara Gould.
A empresa entra em contato com os alvos para marcar uma videochamada, induzindo o usuário a baixar o aplicativo da reunião do site, que é o infostealer Realst.
A atividade foi codinomeada de Meeten pela empresa de segurança, devido ao uso de nomes como Clusee, Cuesee, Meeten, Meetone e Meetio para os sites falsos.
Os ataques envolvem abordar alvos em potencial no Telegram para discutir uma oportunidade de investimento potencial, instigando-os a participar de uma videochamada hospedada em uma das plataformas duvidosas.
Usuários que acabam no site são induzidos a baixar uma versão para Windows ou macOS, dependendo do sistema operacional usado.
Uma vez instalado e lançado no macOS, os usuários são recebidos com uma mensagem que afirma "A versão atual do aplicativo não é totalmente compatível com sua versão do macOS" e que precisam inserir sua senha do sistema para que o aplicativo funcione conforme esperado.
Isso é realizado por meio de uma técnica osascript que foi adotada por várias famílias de stealers macOS como Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer e Cthulhu Stealer.
O objetivo final do ataque é roubar vários tipos de dados sensíveis, incluindo de carteiras de criptomoeda, e exportá-los para um servidor remoto.
O malware também está equipado para roubar credenciais do Telegram, informações bancárias, dados do iCloud Keychain e cookies do navegador do Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc e Vivaldi.
A versão Windows do aplicativo é um arquivo Nullsoft Scriptable Installer System (NSIS) assinado com uma assinatura legítima provavelmente roubada da Brys Software Ltd.
Embutido no instalador está um aplicativo Electron configurado para recuperar o executável do stealer, um binário baseado em Rust, de um domínio controlado pelo atacante.
"Atores de ameaças estão cada vez mais usando IA para gerar conteúdo para suas campanhas", disse Gould.
O uso de IA permite que atores de ameaças criem rapidamente conteúdo de sites realísticos que adiciona legitimidade aos seus golpes e torna mais difícil detectar sites suspeitos.
Essa não é a primeira vez que marcas falsas de software de reunião são utilizadas para entregar malware.
Em março, o Jamf Threat Labs revelou que detectou um site falso chamado meethub[.]gg para propagar um malware stealer que compartilha semelhanças com o Realst.
Depois em junho, a Recorded Future detalhou uma campanha chamada markopolo que visava usuários de criptomoeda com software falso de reunião virtual para drenar suas carteiras usando stealers como Rhadamanthys, Stealc e Atomic.
O desenvolvimento ocorre à medida que os atores de ameaças por trás do malware Banshee Stealer para macOS encerraram suas operações após o vazamento de seu código-fonte.
Não está claro o que motivou o vazamento.
O malware foi anunciado em fóruns de cibercrime por uma assinatura mensal de $3,000.
Isso também segue o surgimento de novas famílias de malware stealer como Fickle Stealer, Wish Stealer, Hexon Stealer e Celestial Stealer, mesmo enquanto usuários e empresas em busca de software pirata e ferramentas de IA estão sendo visados com RedLine Stealer e Poseidon Stealer, respectivamente.
"Os atacantes por trás desta campanha estão claramente interessados em ganhar acesso a organizações de empresários de língua russa que usam software para automatizar processos de negócios", disse a Kaspersky sobre a campanha do RedLine Stealer.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...