Los ciberdelincuentes se dirigen a personas que trabajan en Web3 con reuniones de negocios falsas utilizando una plataforma de videoconferencia fraudulenta que infecta Windows y Mac con malware de robo de criptomonedas.
La campaña se denomina «Meeten» por el nombre comúnmente utilizado por el software de reuniones y ha estado en marcha desde septiembre de 2024.
El malware, que tiene una versión para Windows y macOS, apunta a los activos de criptomonedas, la información bancaria, la información almacenada en los navegadores web y las credenciales de Keychain (en Mac) de las víctimas.
Meeten fue descubierto por Cado Security Labs, que advierte que los actores de amenazas cambian constantemente los nombres y la marca del software de reuniones falso y anteriormente han usado nombres como «Clusee», «Cuesee», «Meetone» y «Meetio».
Fuente: Cado
Estas marcas falsas están respaldadas por sitios web aparentemente oficiales y cuentas de redes sociales llenas de contenido generado por IA para agregar legitimidad.
Los visitantes terminan en el sitio a través de phishing o ingeniería social y se les solicita que descarguen lo que supuestamente es una aplicación de reuniones pero, en realidad, es un ladrón de Realst.
«Según los informes de los objetivos, la estafa se lleva a cabo de múltiples maneras. En un caso reportado, alguien que conocía contactó a un usuario en Telegram y quería discutir una oportunidad de negocio y programar una llamada. Sin embargo, se creó la cuenta de Telegram. Para hacerse pasar por un contacto del objetivo, lo que es aún más interesante es que el estafador le envió una presentación de inversión de la empresa del objetivo, lo que indica una estafa sofisticada y dirigida. Otros informes de usuarios objetivo informan que estaban atendiendo llamadas relacionadas con el trabajo de Web3, descargando el software y. que les roben sus criptomonedas.
Después del contacto inicial, el objetivo sería dirigido al sitio web de Meeten para descargar el producto. Además de albergar ladrones de información, los sitios web de Meeten contienen Javascript para robar criptomonedas almacenadas en los navegadores web, incluso antes de instalar cualquier malware».
❖ Seguridad Cado
Además del malware Realst, Cado dice que los sitios web «Meeten» alojan JavaScript que intenta vaciar las billeteras que se conectan al sitio.
Dirigido a Mac y Windows
Las personas que eligen descargar la versión macOS del software para reuniones obtienen un paquete llamado ‘CallCSSetup.pkg’, pero en el pasado también se han utilizado otros nombres de archivo.
Cuando se ejecuta, utiliza la herramienta de línea de comandos de macOS ‘osascript’ para pedirle al usuario que ingrese su contraseña del sistema, lo que lleva a una escalada de privilegios.
Fuente: Cado
Después de ingresar la contraseña, el malware mostrará un mensaje señuelo que dice: «No se puede conectar al servidor. Vuelva a instalarlo o use una VPN».
Sin embargo, en segundo plano, el malware Realst roba datos alojados en la computadora, que incluyen:
- credenciales de telegrama
- Detalles de la tarjeta bancaria
- Credenciales de llavero
- Cookies del navegador y credenciales de autocompletar de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc y Vivaldi
- Carteras Ledger y Trezor
Los datos primero se almacenan localmente en una carpeta, se comprimen y, finalmente, se extraen a una dirección remota junto con los detalles de la máquina, como el nombre de compilación, la versión y la información del sistema.
La variante de Windows de Realst se distribuye como un archivo Nullsoft Scriptable Installer System (NSIS), llamado ‘MeetenApp.exe’, y también está firmado digitalmente mediante un certificado robado de Brys Software.
Fuente: Cado
El instalador contiene un archivo 7zip («app-64») y el núcleo de una aplicación Electron («app.asar») que contiene JavaScript y recursos, compilados usando Bytenode en código de bytes V8 para evadir la detección.
La aplicación Electron se conecta a un servidor remoto en «deliverynetwork[.]observer» y descarga un archivo protegido con contraseña («AdditionalFilesForMeet.zip) que contiene un perfilador del sistema («MicrosoftRuntimeComponentsX86.exe») y la carga principal de malware («UpdateMC.exe»).
Fuente: Cado
El ejecutable basado en Rust intenta recopilar la siguiente información, agregarla a un archivo ZIP y extraerla:
- credenciales de telegrama
- Detalles de la tarjeta bancaria
- Cookies del navegador, historial y credenciales de autocompletar de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc y Vivaldi
- Carteras Ledger, Trezor, Phantom y Binance
En comparación con macOS, la versión de Windows presenta un mecanismo de entrega de carga útil más elaborado y versátil, mejor evasión y la capacidad de persistir entre reinicios mediante la modificación del registro.
En general, los usuarios nunca deben instalar software recomendado por los usuarios a través de las redes sociales sin verificar primero si el software es legítimo y luego escanearlo con una herramienta antivirus multimotor como VirusTotal.
Aquellos que trabajan en Web3 son particularmente vulnerables, ya que la ingeniería social es una táctica común utilizada para establecer una relación con los objetivos en este espacio y, en última instancia, engañar a los objetivos para que instalen malware para robar criptomonedas.
