以虚假视频会议为诱饵,攻击者瞄准了Web3公司员工
2024-12-9 10:49:40 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Hacker News消息,网络安全研究人员近日发现一种新的诈骗活动,利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员,并传播一种名为Realst 的信息窃取程序。

为了增强迷惑性和合法性,攻击者利用AI设立了虚假公司。Cado Security 的研究员表示,该公司主动联系目标建立视频通话,提示用户从网站上下载会议应用程序,也就是Realst信息窃取程序。

这一恶意活动被安全公司命名为 Meeten,因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。

在实施过程中,攻击者通过 Telegram平台以寻找投资机会为幌子接近目标,诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端,在macOS 上安装并启动后,会提示"当前版本的应用程序与 macOS 版本不完全兼容",要求受害者输入系统密码才能正常使用该应用程序。

含有恶意软件的视频会议软件客户端下载页面

该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据,包括加密货币钱包中的数据,并将其导出到远程服务器。

该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。

而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序,该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件(一个基于 Rust 的二进制文件)。

这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初,Jamf 威胁实验室披露,它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月,Recorded Future 详细描述了一场名为 markopolo 的活动,该活动针对加密货币用户使用假冒的虚拟会议软件,通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。

此外,研究人员也称,攻击者正越来越多地使用AI为其活动生成内容,以此快速创建逼真的网站,从而增加其骗局的合法性,并使可疑网站更难被发现。

参考来源:

Hackers Using Fake Video Conferencing Apps to Steal Web3 Professionals' Data

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/417193.html
如有侵权请联系:admin#unsafe.sh