Peneliti keamanan siber telah memperingatkan adanya kampanye penipuan baru yang memanfaatkan aplikasi konferensi video palsu untuk mengirimkan pencuri informasi bernama Realst yang menargetkan orang-orang yang bekerja di Web3 dengan kedok pertemuan bisnis palsu.
“Para pelaku ancaman di balik malware ini telah mendirikan perusahaan palsu dengan menggunakan AI untuk meningkatkan legitimasi mereka,” kata Tara Gould, peneliti Keamanan Cado. “Perusahaan menjangkau target untuk mengatur panggilan video, mendorong pengguna untuk mengunduh aplikasi pertemuan dari situs web, yaitu Realst infostealer.”
Aktivitas tersebut diberi nama sandi Meeten oleh perusahaan keamanan, karena penggunaan nama seperti Clusee, Cuesee, Meeten, Meetone, dan Meetio untuk situs palsu tersebut.
Serangan tersebut memerlukan pendekatan terhadap target prospektif di Telegram untuk mendiskusikan peluang investasi potensial, dan mendesak mereka untuk bergabung dalam panggilan video yang diselenggarakan di salah satu platform yang meragukan. Pengguna yang membuka situs tersebut diminta untuk mengunduh versi Windows atau macOS tergantung pada sistem operasi yang digunakan.
Setelah diinstal dan diluncurkan di macOS, pengguna akan disambut dengan pesan yang menyatakan “Versi aplikasi saat ini tidak sepenuhnya kompatibel dengan versi macOS Anda” dan mereka harus memasukkan kata sandi sistem agar aplikasi dapat berfungsi seperti yang diharapkan. .
Hal ini dilakukan melalui teknik osascript yang telah diadopsi oleh beberapa keluarga pencuri macOS seperti Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer, dan Cthulhu Stealer. Tujuan akhir dari serangan ini adalah untuk mencuri berbagai jenis data sensitif, termasuk dari dompet mata uang kripto, dan mengekspornya ke server jarak jauh.
Malware ini juga dilengkapi untuk mencuri kredensial Telegram, informasi perbankan, data Rantai Kunci iCloud, dan cookie browser dari Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc, dan Vivaldi.
Versi Windows dari file Nullsoft Scriptable Installer System (NSIS) aplikasi yang ditandatangani dengan kemungkinan tanda tangan sah yang dicuri dari Brys Software Ltd. Tertanam di dalam penginstal adalah aplikasi Electron yang dikonfigurasi untuk mengambil file pencuri yang dapat dieksekusi, biner berbasis Rust, dari domain yang dikendalikan penyerang.
“Para pelaku ancaman semakin banyak menggunakan AI untuk menghasilkan konten untuk kampanye mereka,” kata Gould. “Penggunaan AI memungkinkan pelaku ancaman dengan cepat membuat konten situs web realistis yang menambah legitimasi penipuan mereka, dan mempersulit pendeteksian situs web mencurigakan.”
Ini bukan pertama kalinya merek perangkat lunak pertemuan palsu dimanfaatkan untuk menyebarkan malware. Awal Maret ini, Jamf Threat Labs mengungkapkan bahwa mereka mendeteksi situs web palsu bernama meethub[.]gg untuk menyebarkan malware pencuri yang berbagi tumpang tindih dengan Realst.
Kemudian pada bulan Juni, Recorded Future merinci kampanye yang dijuluki markopolo yang menargetkan pengguna mata uang kripto dengan perangkat lunak pertemuan virtual palsu untuk menguras dompet mereka dengan menggunakan pencuri seperti Rhadamanthys, Stealc, dan Atomic.
Perkembangan ini terjadi ketika pelaku ancaman di balik malware macOS Banshee Stealer menutup operasinya setelah kode sumbernya bocor. Tidak jelas apa yang menyebabkan kebocoran tersebut. Malware tersebut diiklankan di forum kejahatan dunia maya dengan biaya berlangganan bulanan sebesar $3.000.
Hal ini juga mengikuti munculnya keluarga malware pencuri baru seperti Fickle Stealer, Wish Stealer, Hexon Stealer, dan Celestial Stealer, bahkan ketika pengguna dan bisnis yang mencari perangkat lunak bajakan dan alat AI masing-masing menjadi sasaran RedLine Stealer dan Poseidon Stealer.
“Para penyerang di balik kampanye ini jelas tertarik untuk mendapatkan akses ke organisasi pengusaha berbahasa Rusia yang menggunakan perangkat lunak untuk mengotomatisasi proses bisnis,” kata Kaspersky tentang kampanye RedLine Stealer.
