Los investigadores de ciberseguridad han advertido sobre una nueva campaña de estafa que aprovecha aplicaciones de videoconferencia falsas para ofrecer un ladrón de información llamado Realst dirigido a personas que trabajan en Web3 bajo la apariencia de reuniones de negocios falsas.
“Los actores de amenazas detrás del malware han creado empresas falsas que utilizan IA para aumentar su legitimidad”, afirma Tara Gould, investigadora de Cado Security. dicho. “La empresa se acerca a los objetivos para configurar una videollamada, solicitando al usuario que descargue la aplicación de reunión del sitio web, que es Realst infostealer”.
La empresa de seguridad ha denominado a la actividad como Meeten, debido al uso de nombres como Clusee, Cuesee, Meeten, Meetone y Meetio para los sitios falsos.
Los ataques implican acercarse a posibles objetivos en Telegram para discutir una posible oportunidad de inversión, instándolos a unirse a una videollamada alojada en una de las plataformas dudosas. A los usuarios que terminan en el sitio se les solicita que descarguen una versión de Windows o macOS según el sistema operativo utilizado.
Una vez instalada e iniciada en macOS, los usuarios reciben un mensaje que dice “La versión actual de la aplicación no es totalmente compatible con su versión de macOS” y que deben ingresar su contraseña del sistema para que la aplicación funcione como se espera. .
Esto se logra mediante una técnica de osascript que ha sido adoptada por varias familias de ladrones de macOS, como Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer y Cthulhu Stealer. El objetivo final del ataque es robar diversos tipos de datos confidenciales, incluidos los de carteras de criptomonedas, y exportarlos a un servidor remoto.
El malware también está equipado para robar credenciales de Telegram, información bancaria, datos del llavero de iCloud y cookies del navegador de Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc y Vivaldi.
La versión de Windows del archivo de la aplicación Nullsoft Scriptable Installer System (NSIS) que está firmado con una firma legítima probablemente robada de Brys Software Ltd. Integrada en el instalador hay una aplicación Electron que está configurada para recuperar el ejecutable ladrón, un binario basado en Rust, de un dominio controlado por un atacante.
“Los actores de amenazas utilizan cada vez más la IA para generar contenido para sus campañas”, dijo Gould. “El uso de IA permite a los actores de amenazas crear rápidamente contenido de sitios web realista que agrega legitimidad a sus estafas y hace que sea más difícil detectar sitios web sospechosos”.
Esta no es la primera vez que se aprovechan marcas falsas de software para reuniones para distribuir malware. A principios de marzo, Jamf Threat Labs reveló que detectó un sitio web falsificado llamado meethub.[.]gg para propagar un malware ladrón que se superpone con Realst.
Luego, en junio, Recorded Future detalló una campaña denominada markopolo que se dirigía a los usuarios de criptomonedas con un software de reuniones virtuales falso para vaciar sus billeteras mediante el uso de ladrones como Rhadamanthys, Stealc y Atomic.
El desarrollo se produce cuando los actores de amenazas detrás del malware Banshee Stealer macOS cerrar sus operaciones después del filtración de su código fuente. No está claro qué provocó la filtración. El malware se anunciaba en foros de ciberdelincuencia por una suscripción mensual de 3.000 dólares.
También sigue la aparición de nuevas familias de malware ladrón como Ladrón voluble, Ladrón de deseos, Ladrón de maleficiosy Ladrón celestialincluso cuando los usuarios y empresas que buscan software pirateado y herramientas de inteligencia artificial están siendo atacados por RedLine Stealer y Ladrón de Poseidónrespectivamente.
“Los atacantes detrás de esta campaña están claramente interesados en obtener acceso a organizaciones de empresarios de habla rusa que utilizan software para automatizar procesos comerciales”, Kaspersky dicho de la campaña RedLine Stealer.