Meeten rappresenta una nuova e sofisticata minaccia che prende di mira i professionisti del Web3, sfruttando applicazioni di videoconferenza false per rubare dati sensibili e criptovalute.
Scoperta dai ricercatori di Cado Security, questa campagna distribuisce l’infostealer Realst e opera su entrambe le piattaforme macOS e Windows. Oltre al malware Realst, Cado Security afferma che i siti web di questa campagna ospitano anche codice JavaScript che tenta di carpire criptovaluta dai wallet memorizzati nel browser in uso.
Indice degli argomenti
La campagna malevola “Meeten”
Gli attori della minaccia creano aziende false utilizzando contenuti generati dall’intelligenza artificiale per apparire legittimi.
Queste aziende fittizie, come “Meetio”, “Clusee” e “Meeten”, posseggono siti web professionali e profili sui social media per guadagnare credibilità (Twitter e Medium).
Le vittime vengono spesso contattate tramite Telegram da qualcuno che si spaccia per un contatto conosciuto e vengono invitate a discutere opportunità di business tramite una videochiamata.
Durante queste interazioni, le vittime sono indotte a scaricare l’applicazione “Meeten” dal sito web della falsa azienda. Tuttavia, invece di un legittimo strumento di videoconferenza, l’applicazione è un crypto-stealer progettato per esfiltrare dati sensibili, inclusi credenziali di criptovalute, informazioni bancarie e dati personali.
Fonte: Cado Security.
Come avviene l’infezione
Gli attaccanti utilizzano diverse tecniche per infettare i sistemi delle vittime e colpire un’ampia gamma di utenti.
Chi sceglie di scaricare la versione macOS del software per riunioni riceve un pacchetto denominato “CallCSSetup.pkg”, che una volta eseguito, sfrutta lo strumento da riga di comando macOS “osascript” (tecnica già vista impiegata da altri malware macOS) per chiedere all’utente di immettere la password di sistema, con il pretesto di risolvere problemi di compatibilità.
Fonte: Cado Security.
In realtà ottenuti privilegi elevati viene eseguito un binario scritto in linguaggio di programmazione Rust con funzioni da infostealer.
Fonte: Cado Security.
La variante Windows di Realst, distribuita tramite l’eseguibile “MeetenApp.exe” è invece un file NSIS (Nullsoft Scriptable Installer System) firmato digitalmente utilizzando un certificato Brys Software probabilmente rubato, incorpora nel programma di installazione un’app Electron configurata per recuperare da un dominio controllato dall’attaccante (“deliverynetwork[.]observer”) un archivio protetto da password (“AdditionalFilesForMeet.zip”) contenente un binario per raccogliere informazioni di sistema (“MicrosoftRuntimeComponentsX86.exe”) e il payload principale del malware (“UpdateMC.exe”) ovvero un eseguibile anch’esso scritto in Rust con funzionalità simili al malware in versione macOS.
Fonte: Cado Security.
In generale, il malware Realst è in grado di rubare credenziali di Telegram, informazioni bancarie, dati keychain iCloud, cookie del browser Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc e Vivaldi e vari wallet di criptovaluta.
I dati vengono raccolti, aggiunti in un file ZIP ed esfiltrati. La versione per Windows sarebbe anche dotata di una migliore elusione e persistenza rispetto alla variante macOS.
Implicazioni e misure di sicurezza
La crescente sofisticazione di campagne come questa evidenzia l’importanza di adottare misure di sicurezza rigorose, verificare sempre la legittimità delle fonti prima di scaricare qualsiasi applicazione, utilizzare software di sicurezza mantenendolo aggiornato e diffidare di contatti non richiesti su piattaforme come Telegram, soprattutto se offrono opportunità di investimento o affari.
La consapevolezza e la prudenza risultano fondamentali.
“Sebbene gran parte dell’attenzione recente sia stata rivolta al potenziale dell’IA per creare malware, gli autori delle minacce stanno sempre più utilizzando l’IA per generare contenuti per le loro campagne.
L’utilizzo dell’IA consente agli autori delle minacce di creare rapidamente contenuti realistici per siti Web che aggiungono legittimità alle loro truffe e rendono più difficile rilevare siti Web sospetti.
Questo cambiamento mostra come l’IA può essere utilizzata come un potente strumento di ingegneria sociale”, sottolinea Tara Gould, ricercatrice di Cado Security.
