Cibercriminosos estão mirando pessoas que trabalham com Web3, utilizando reuniões de negócios falsas por meio de uma plataforma fraudulenta de videoconferência que infecta computadores Windows e Mac com malware para roubo de criptomoedas.
A campanha, apelidada de "Meeten", vem sendo executada desde setembro de 2024.
O malware, disponível tanto para Windows quanto para macOS, visa os ativos de criptomoedas das vítimas, informações bancárias, informações armazenadas nos navegadores web e credenciais do Keychain (em Macs).
Meeten foi descoberto pela Cado Security Labs, que alerta que os agentes de ameaças constantemente mudam nomes e a marca do software de reunião falso, tendo anteriormente utilizado nomes como "Clusee", "Cuesee", "Meetone" e "Meetio".
Essas marcas falsas são respaldadas por sites e contas de mídias sociais aparentemente oficiais, povoadas com conteúdo gerado por IA para adicionar legitimidade.
Os visitantes acabam no site por meio de phishing ou engenharia social e são induzidos a baixar o que supostamente é um aplicativo de reunião, mas, na realidade, é o malware Realst.
Além do malware Realst, a Cado afirma que os sites "Meeten" hospedam JavaScript que tenta drenar carteiras que se conectam ao site.
Pessoas que optam por baixar a versão macOS do software de reunião recebem um pacote chamado 'CallCSSetup.pkg', mas outros nomes de arquivos também foram utilizados no passado.
Quando executado, ele usa a ferramenta de linha de comando do macOS 'osascript' para solicitar ao usuário que insira sua senha do sistema, levando a uma escalada de privilégios.
Após inserir a senha, o malware exibirá uma mensagem falsa dizendo: "Não é possível conectar-se ao servidor. Por favor, reinstale ou use uma VPN."
No entanto, em segundo plano, o malware Realst rouba dados hospedados no computador, incluindo:
- Credenciais do Telegram;
- Detalhes de cartões bancários;
- Credenciais do Keychain;
- Cookies do navegador e credenciais de preenchimento automático do Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc, e Vivaldi;
- Carteiras Ledger e Trezor.
Os dados são inicialmente armazenados localmente em uma pasta, compactados e, eventualmente, exfiltrados para um endereço remoto junto com detalhes da máquina como nome da build, versão e informações do sistema.
A variante Windows do Realst é distribuída como um arquivo Nullsoft Scriptable Installer System (NSIS), nomeado 'MeetenApp.exe', e também é assinado digitalmente usando um certificado roubado da Brys Software.
O instalador contém um arquivo 7zip ("app-64") e o núcleo de uma aplicação Electron ("app.asar") que contém JavaScript e recursos, compilados usando Bytenode em bytecode V8 para evitar detecção.
O aplicativo Electron se conecta a um servidor remoto em "deliverynetwork[.]observer" e faz o download de um arquivo compactado protegido por senha ("AdditionalFilesForMeet.zip") contendo um perfilador de sistema ("MicrosoftRuntimeComponentsX86.exe") e o principal payload do malware ("UpdateMC.exe").
O executável baseado em Rust tenta coletar as seguintes informações, adicioná-las a um arquivo ZIP e exfiltrá-las:
- Credenciais do Telegram;
- Detalhes de cartões bancários;
- Cookies do navegador, histórico e credenciais de preenchimento automático do Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc, e Vivaldi;
- Carteiras Ledger, Trezor, Phantom, e Binance.
Comparada à versão para macOS, a versão Windows apresenta um mecanismo de entrega de payload mais elaborado e versátil, melhor evasão e a capacidade de persistir entre reinicializações por meio de modificação do registro.
No geral, os usuários nunca devem instalar software recomendado por usuários através de mídias sociais sem antes verificar se o software é legítimo e, em seguida, escanear em uma ferramenta antivírus multi-engine como VirusTotal.
Aqueles que trabalham com Web3 são particularmente vulneráveis, pois a engenharia social é uma tática comum usada para construir um relacionamento com os alvos neste espaço e, em última análise, induzi-los a instalar malware para roubar criptomoedas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...