據(jù)The Hacker News消息，網(wǎng)絡(luò)安全研究人員近日發(fā)現(xiàn)一種新的詐騙活動，利用虛假的商務(wù)視頻會議應(yīng)用程序來針對 Web3 技術(shù)公司的工作人員，并傳播一種名為Realst 的信息竊取程序。

為了增強(qiáng)迷惑性和合法性，攻擊者利用AI設(shè)立了虛假公司。Cado Security 的研究員表示，該公司主動聯(lián)系目標(biāo)建立視頻通話，提示用戶從網(wǎng)站上下載會議應(yīng)用程序，也就是Realst信息竊取程序。

這一惡意活動被安全公司命名為 Meeten，因為攻擊者使用的虛假網(wǎng)站名稱分別為 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。

在實(shí)施過程中，攻擊者通過 Telegram平臺以尋找投資機(jī)會為幌子接近目標(biāo)，誘導(dǎo)對方加入一個可疑平臺上托管的視頻通話。最終訪問該站點(diǎn)的受害者將被提示下載 Windows 或 macOS版本的客戶端，在macOS 上安裝并啟動后，會提示"當(dāng)前版本的應(yīng)用程序與 macOS 版本不完全兼容"，要求受害者輸入系統(tǒng)密碼才能正常使用該應(yīng)用程序。

含有惡意軟件的視頻會議軟件客戶端下載頁面

該技術(shù)已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多個 macOS 竊取程序家族采用。 攻擊的最終目的是竊取各種敏感數(shù)據(jù)，包括加密貨幣錢包中的數(shù)據(jù)，并將其導(dǎo)出到遠(yuǎn)程服務(wù)器。

該惡意軟件還可以竊取 Telegram 憑證、銀行信息、iCloud Keychain 數(shù)據(jù)以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、C?c C?c 和 Vivaldi 瀏覽器的 cookies。

而Windows 版應(yīng)用程序 Nullsoft Scriptable Installer System (NSIS) 文件的簽名很可能是從 Brys Software Ltd. 竊取的合法簽名。 安裝程序中嵌入了一個 Electron 應(yīng)用程序，該應(yīng)用程序被配置為從攻擊者控制的域中檢索竊取器可執(zhí)行文件（一個基于 Rust 的二進(jìn)制文件）。

這已經(jīng)不是第一次有人利用假冒會議軟件傳播惡意軟件了。 今年 3 月初，Jamf 威脅實(shí)驗室披露，它檢測到一個名為 meethub[.]gg 的假冒網(wǎng)站傳播與 Realst 有關(guān)的竊取惡意軟件。6月，Recorded Future 詳細(xì)描述了一場名為 markopolo 的活動，該活動針對加密貨幣用戶使用假冒的虛擬會議軟件，通過 Rhadamanthys、Steelc 和 Atomic 等盜號軟件來竊取用戶的資產(chǎn)。

此外，研究人員也稱，攻擊者正越來越多地使用AI為其活動生成內(nèi)容，以此快速創(chuàng)建逼真的網(wǎng)站，從而增加其騙局的合法性，并使可疑網(wǎng)站更難被發(fā)現(xiàn)。