Pesquisadores de segurança cibernética estão dando alarmes sobre uma nova campanha de golpe que usa aplicativos falsos de videoconferência para distribuir um ladrão de informações chamado Realst. Este malware tem como alvo específico profissionais da Web3 se passando por ferramentas legítimas de reunião de negócios.
A pesquisadora de segurança da Cado Tara Gould explicou, “Os agentes de ameaças por trás deste malware criam empresas falsas, geralmente usando IA para aumentar sua credibilidade. Essas empresas falsas então contatam os alvos para marcar uma videoconferência, instruindo-os a baixar o aplicativo de reunião de um site que, na realidade, entrega o infostealer Realst.”
A empresa de segurança rotulou essa atividade como “Meeten” devido ao uso de nomes como Clusee, Cuesee, Meeten, Meetone e Meetio para os sites fraudulentos.
O ataque começa abordando vítimas em potencial no Telegram com uma oportunidade de investimento atraente. Para prosseguir, os invasores incentivam as vítimas a participar de uma videoconferência hospedada em uma das plataformas maliciosas. Quando as vítimas visitam o site, os invasores solicitam que elas baixem uma versão Windows ou macOS do aplicativo, dependendo do sistema operacional.
Versão MacOS
Após a instalação no macOS, o aplicativo exibe uma mensagem informando: “A versão atual do aplicativo não é Totalmente Compatível com sua versão do macOS” e Solicita a senha do sistema para Funcionar Corretamente.
Os Invasores contam com uma técnica Osascript, um método também usado por Famílias de ladrões do macOS, como Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer e Cthulhu Stealer. Por fim, o ataque visa extrair dados Confidenciais, Incluindo Credenciais de Carteira de Criptomoedas, e Enviá-los para um Servidor remoto.
Além disso, os Invasores Projetaram o malware para roubar Informações Adicionais, Incluindo Credenciais do Telegram, dados Bancários, dados do iCloud Keychain e cookies do Navegador de Plataformas como Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc e Vivaldi.
Versão Windows
A versão do Aplicativo para Windows usa um arquivo Nullsoft Scriptable Installer System (NSIS), Assinado com o que parece ser uma Assinatura Legítima roubada da Brys Software Ltd. dentro do Instalador, um Aplicativo Electron busca o Executável do ladrão — um binário baseado em Rust — de um domínio Controlado pelo invasor.
Gould observou: “Os agentes de ameaças estão cada vez mais contando com a IA para criar conteúdo para suas campanhas. A IA permite que eles gerem rapidamente conteúdo realista para sites que adiciona credibilidade aos seus golpes e torna mais difícil detectar sites suspeitos.”
Não é Novidade
Essa tática de usar software de reunião falso para Espalhar malware não é nova. Em março, o Jamf Threat Labs Descobriu um site falso, meethub[.]gg, que Distribuía malware stealer com Similaridades ao Realst.
Em junho, o Recorded Future Documentou outra Campanha, Conhecida como Markopolo, que tinha como alvo Usuários de Criptomoedas. Essa Operação usou software de reunião virtual Fraudulento para Implantar Stealers como Rhadamanthys, Stealc e Atomic, Permitindo que os Invasores Drenassem as Carteiras de Criptomoedas das vítimas.
Enquanto isso, os Operadores por trás do malware Banshee Stealer macOS Abruptamente Cessaram suas Atividades após o Inesperado Vazamento de seu Código-fonte.
Embora as razões por trás do Vazamento Permaneçam Desconhecidas, o Banshee Stealer foi Oferecido em fóruns de crimes Cibernéticos por uma taxa mensal de US$ 3.000.
Simultaneamente, novas Famílias de malware stealer, como Fickle Stealerr, Wish Stealer, Hexon Stealer e Celestial Stealer—Surgiram.
Ao mesmo tempo, Usuários e Empresas que buscam software Pirateado ou Ferramentas de IA estão sendo alvos do RedLine Stealer e do Poseidon Stealer.
Kaspersky explicou, “Os invasores por trás desta campanha estão focados em se infiltrar em organizações administradas por empreendedores de língua russa que dependem de software para automatizar seus processos de negócios.”
Fonte: TheHackerNews
