Siber güvenlik araştırmacıları, sahte iş toplantıları kisvesi altında Web3’te çalışan insanları hedef alan Realst adlı bir bilgi hırsızı sunmak için sahte video konferans uygulamalarını kullanan yeni bir dolandırıcılık kampanyası konusunda uyardılar.
Cado Güvenlik araştırmacısı Tara Gould, “Kötü amaçlı yazılımın arkasındaki tehdit aktörleri, meşruiyetlerini artırmak için yapay zekayı kullanan sahte şirketler kurdu.” söz konusu. “Şirket, video görüşmesi kurmak için hedeflere ulaşıyor ve kullanıcıyı Realst infostealer olan web sitesinden toplantı uygulamasını indirmeye teşvik ediyor.”
Sahte siteler için Clusee, Cuesee, Meeten, Meetone ve Meetio gibi isimlerin kullanılması nedeniyle, güvenlik şirketi tarafından etkinliğe Meeten kod adı verildi.
Saldırılar, potansiyel bir yatırım fırsatını tartışmak için Telegram’daki potansiyel hedeflere yaklaşmayı ve onları şüpheli platformlardan birinde barındırılan bir video görüşmesine katılmaya teşvik etmeyi gerektiriyor. Siteye giren kullanıcılardan, kullanılan işletim sistemine bağlı olarak Windows veya macOS sürümünü indirmeleri istenir.
Kullanıcılar, macOS’a yüklenip başlatıldıktan sonra “Uygulamanın mevcut sürümü, macOS sürümünüzle tam olarak uyumlu değil” şeklinde bir mesajla karşılaşıyor ve uygulamanın beklendiği gibi çalışması için sistem şifrelerini girmeleri gerekiyor .
Bu, Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer ve Cthulhu Stealer gibi çeşitli macOS hırsız aileleri tarafından benimsenen bir osascript tekniği aracılığıyla gerçekleştirilir. Saldırının nihai hedefi, kripto para cüzdanları da dahil olmak üzere çeşitli türdeki hassas verileri çalmak ve bunları uzak bir sunucuya aktarmaktır.
Kötü amaçlı yazılım ayrıca Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc ve Vivaldi’den Telegram kimlik bilgilerini, banka bilgilerini, iCloud Anahtar Zinciri verilerini ve tarayıcı çerezlerini çalacak donanıma sahiptir.
Uygulamanın Nullsoft Scriptable Installer System (NSIS) dosyasının, Brys Software Ltd.’den çalınmış olması muhtemel yasal bir imzayla imzalanmış Windows sürümü. Yükleyicinin içine yerleştirilmiş, Rust tabanlı bir ikili dosya olan çalıntı yürütülebilir dosyasını almak üzere yapılandırılmış bir Electron uygulamasıdır. saldırgan tarafından kontrol edilen bir alan adı.
Gould, “Tehdit aktörleri, kampanyaları için içerik oluşturmak amacıyla yapay zekayı giderek daha fazla kullanıyor” dedi. “Yapay zekanın kullanılması, tehdit aktörlerinin, dolandırıcılıklarına meşruiyet katan gerçekçi web sitesi içeriklerini hızlı bir şekilde oluşturmalarına olanak tanıyor ve şüpheli web sitelerinin tespitini zorlaştırıyor.”
Bu, sahte toplantı yazılımı markalarının kötü amaçlı yazılım dağıtmak için kullanıldığı ilk sefer değil. Bu Mart ayının başlarında Jamf Threat Labs, meethub adında sahte bir web sitesi tespit ettiğini açıkladı[.]Realst ile çakışmaları paylaşan hırsız kötü amaçlı yazılım yaymak için gg.
Daha sonra haziran ayında Recorded Future, Rhadamanthys, Stealc ve Atomic gibi hırsızları kullanarak cüzdanlarını boşaltmak için sahte sanal toplantı yazılımıyla kripto para birimi kullanıcılarını hedef alan markopolo adlı bir kampanyayı ayrıntılarıyla anlattı.
Gelişme, Banshee Stealer macOS kötü amaçlı yazılımının arkasındaki tehdit aktörleri olarak ortaya çıkıyor operasyonlarını kapatmak sonra kaynak kodlarının sızdırılması. Sızıntıya neyin yol açtığı belli değil. Kötü amaçlı yazılımın, aylık 3.000 dolarlık bir abonelik karşılığında siber suç forumlarında reklamı yapıldı.
Aynı zamanda yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkmasını da takip ediyor Kararsız Hırsız, Dilek Hırsızı, Hexon HırsızıVe Göksel HırsızKorsan yazılım ve yapay zeka araçları arayan kullanıcılar ve işletmeler RedLine Stealer tarafından hedef alınırken ve Poseidon Hırsızısırasıyla.
Kaspersky, “Bu kampanyanın arkasındaki saldırganların, iş süreçlerini otomatikleştirmek için yazılım kullanan, Rusça konuşan girişimcilerin kuruluşlarına erişim sağlamakla ilgilendiği açık” dedi. söz konusu RedLine Stealer kampanyasının.
