网络安全研究人员警告说,一种新的诈骗活动利用虚假的视频会议应用程序来提供一个名为 Realst 的信息窃取程序,以虚假商务会议为幌子,以在 Web3 中工作的人为目标。
“恶意软件背后的威胁行为者使用 AI 建立了虚假公司,以提高其合法性,”Cado Security 研究员 Tara Gould 说。“该公司联系目标以设置视频通话,提示用户从网站下载会议应用程序,这是 Realst 信息窃取程序。”
该活动被安全公司代号为 Meeten,因为虚假网站使用了 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等名称。
这些攻击需要在 Telegram 上接近潜在目标以讨论潜在的投资机会,敦促他们加入一个可疑平台上托管的视频通话。最终访问该站点的用户将被提示下载 Windows 或 macOS 版本,具体取决于所使用的操作系统。
在 macOS 上安装并启动后,用户会收到一条消息,声称“当前版本的应用程序与您的 macOS 版本不完全兼容”,并且他们需要输入系统密码才能使应用程序按预期工作。
这是通过 osascript 技术实现的,该技术已被多个 macOS 窃取程序系列采用,例如 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer。攻击的最终目标是窃取各种敏感数据,包括从加密货币钱包中窃取数据,并将其导出到远程服务器。
该恶意软件还可以从 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 窃取 Telegram 凭据、银行信息、iCloud 钥匙串数据和浏览器 cookie。
应用程序的 Windows 版本是 Nullsoft Scriptable Installer System (NSIS) 文件,该文件使用可能从 Brys Software Ltd. 窃取的合法签名进行签名。嵌入在安装程序中的是一个 Electron 应用程序,它被配置为从攻击者控制的域中检索窃取者可执行文件,一个基于 Rust 的二进制文件。
“威胁行为者越来越多地使用 AI 为他们的活动生成内容,”Gould 说。“使用 AI 使威胁行为者能够快速创建逼真的网站内容,从而增加其诈骗的合法性,并使检测可疑网站变得更加困难。”
这不是第一次利用虚假会议软件品牌来传播恶意软件。今年 3 月初,Jamf Threat Labs 透露,它检测到一个名为 meethub[.] 的假冒网站。gg 传播与 Realst 共享重叠的窃取恶意软件。
然后在 6 月,Recorded Future 详细介绍了一项名为 markopolo 的活动,该活动针对加密货币用户,使用虚假的虚拟会议软件,通过使用 Rhadamanthys、Stealc 和 Atomic 等窃取程序来掏空他们的钱包。
这一发展是在 Banshee Stealer macOS 恶意软件背后的威胁行为者在其源代码泄露后关闭了他们的业务。目前尚不清楚是什么导致了泄漏。该恶意软件在网络犯罪论坛上发布广告,每月订阅费用为 3,000 美元。
它还紧随 Fickle Stealer、Wish Stealer、Hexon Stealer 和 Celestial Stealer 等新的窃取恶意软件家族的出现,即使搜索盗版软件和 AI 工具的用户和企业分别成为 RedLine Stealer 和 Poseidon Stealer 的目标。
“该活动背后的攻击者显然有兴趣访问使用软件实现业务流程自动化的讲俄语的企业家组织,”卡巴斯基在谈到 RedLine Stealer 活动时说。
觉得这篇文章有趣吗?关注我们
信息来源:https://thehackernews.com/2024/12/hackers-using-fake-video-conferencing.html