Incidentes Asociados
Cado Security Labs ha identificado una nueva estafa sofisticada dirigida a personas que trabajan en Web3. La campaña incluye al ladrón de criptomonedas Realst, que tiene variantes para macOS y Windows, y ha estado activo durante unos cuatro meses. Los actores de amenazas detrás del malware han creado empresas falsas que utilizan IA para aumentar su legitimidad. La empresa, que actualmente se conoce con el nombre de "Meetio", ha pasado por varios nombres en los últimos meses. Para parecer una empresa legítima, los actores de amenazas crearon un sitio web con contenido generado por IA, junto con cuentas de redes sociales. La empresa se pone en contacto con los objetivos para establecer una videollamada, incitando al usuario a descargar la aplicación de reuniones del sitio web, que es el ladrón de información de Realst.
"Meeten" es la aplicación que intenta estafar a los usuarios para que descarguen un ladrón de información. La empresa cambia de nombre con regularidad y también se ha conocido con los nombres Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg y actualmente se conoce con el nombre Meetio. Para ganar credibilidad, los actores de la amenaza crearon sitios web completos de la empresa, con contenido de blogs y productos generados por IA y cuentas en redes sociales como Twitter y Medium.
Según los informes de los objetivos, la estafa se lleva a cabo de múltiples formas. En un caso denunciado, un usuario fue contactado en Telegram por alguien que conocía y quería hablar sobre una oportunidad de negocio y programar una llamada. Sin embargo, la cuenta de Telegram se creó para hacerse pasar por un contacto del objetivo. Aún más interesante, el estafador le envió una presentación de inversión de la empresa del objetivo, lo que indica una estafa sofisticada y dirigida. Otros informes de usuarios objetivo informan que estuvieron en llamadas relacionadas con el trabajo de Web3, descargaron el software y les robaron su criptomoneda.
Después del contacto inicial, el objetivo sería dirigido al sitio web de Meeten para descargar el producto. Además de albergar ladrones de información, los sitios web de Meeten contienen Javascript para robar criptomonedas que se almacenan en los navegadores web, incluso antes de instalar cualquier malware.
Una vez que la víctima es dirigida al sitio web de "Meeten", la página de descargas ofrece macOS o Windows/Linux. En esta versión del sitio web, todos los enlaces de descarga conducen a la versión para macOS. El archivo del paquete contiene un binario de 64 bits llamado "fastquery", sin embargo, otras versiones del malware se distribuyen como un DMG con un binario multiarquitectura. El binario está escrito en Rust, y su principal funcionalidad es el robo de información.
Al abrirlo, aparecen dos mensajes de error. El primero dice "No se puede conectar al servidor. Por favor, reinstale o use una VPN". con un botón para continuar. Osascript, la herramienta de línea de comandos de macOS para ejecutar AppleScript y JavaScript, se utiliza para solicitar al usuario su contraseña, como se ve comúnmente en malware para macOS.
El malware itera a través de varios almacenes de datos, obtiene información confidencial, crea una carpeta donde se almacenan los datos y luego los exfiltra como un archivo zip.
Realst Stealer busca y extrae, si está disponible, lo siguiente:
- Credenciales de Telegram
- Datos de tarjetas bancarias
- Credenciales de Keychain
- Cookies de navegador y credenciales de autocompletado de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc y Vivaldi
- Billeteras Ledger
- Billeteras Trezor
Los datos se envían a 139[.]162[.]179.170:8080/new_analytics con "log_id", "anal_data" y "archive". Esto contiene los datos zip que se van a extraer junto con los análisis que incluyen el nombre de la compilación, la versión de la compilación y la información del sistema.
La información de la compilación también se envía a 139[.]162[.]179.170:8080/opened junto con las métricas enviadas a /metrics. Después de la extracción de datos, los directorios temporales creados se eliminan del sistema.
Al analizar la versión macOS de Meeten, Cado Security Labs identificó una versión Windows del malware. El binario, “MeetenApp.exe”, es un archivo Nullsoft Scriptable Installer System (NSIS), con una firma legítima de “Brys Software” que probablemente haya sido robada.
Después de extraer los archivos del instalador, hay dos carpetas $PLUGINDIR y $R0. Dentro de $PLUGINDIR hay un archivo 7zip llamado “app-64” que contiene recursos, activos, binarios y un archivo app.asar, lo que indica que se trata de una aplicación Electron. Las aplicaciones Electron se basan en el marco Electron que se utiliza para desarrollar aplicaciones de escritorio multiplataforma con lenguajes web como Javascript. Los archivos app.asar son utilizados por el entorno de ejecución de Electron y es un sistema de archivos virtual que contiene código de aplicación, activos y dependencias.
Ambos son archivos Javascript compilados por Bytenode. Bytenode es una herramienta que compila código JavaScript en bytecode V8, lo que permite la ejecución de JavaScript sin exponer el código fuente. El bytecode es una representación de bajo nivel del código JavaScript que puede ejecutar el motor JavaScript V8 que impulsa Node.js. Dado que el Javascript está compilado, la ingeniería inversa de los archivos es más difícil y es menos probable que las herramientas de seguridad la detecten.
Mientras se compila el archivo, todavía hay algo de información que podemos ver como texto sin formato. De manera similar a la versión macOS, se envía un registro con información del sistema a un servidor remoto. Se recupera un archivo secundario protegido con contraseña, "AdditionalFilesForMeet.zip", de deliverynetwork[.]observer en un directorio temporal "temp03241242".
De FurtherFilesForMeet.zip hay un binario llamado "MicrosoftRuntimeComponentsX86.exe". Este binario recopila información del sistema, incluido HWID, IP geográfica, nombre de host, SO, usuarios, núcleos, RAM, tamaño del disco y procesos en ejecución.
Estos datos se envían a 172[.]104.133.212/opened, junto con la versión de compilación de Meeten.
Se recupera una carga útil adicional "UpdateMC.zip" de "deliverynetwork[.]observer/qfast" en AppData/Local/Temp. El archivo comprimido se extrae en UpdateMC.exe.
UpdateMC.exe es un binario basado en Rust, con una funcionalidad similar a la versión para macOS. El ladrón busca en varios almacenes de datos para recopilar y exfiltrar datos confidenciales como un archivo zip. Meeten tiene la capacidad de robar datos de:
- Credenciales de Telegram
- Detalles de tarjetas bancarias
- Cookies del navegador, historial y credenciales de autocompletar de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc y Vivaldi
- Billeteras Ledger
- Billeteras Trezor
- Billeteras Phantom
- Billeteras Binance
Los datos se almacenan dentro de una carpeta con el nombre del HWID de los usuarios dentro del directorio AppData/Local/Temp antes de ser exfiltrados a 172[.]104.133.212.
Para la persistencia, se agrega una clave de registro a HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para garantizar que el ladrón se ejecute cada vez que se inicia la máquina.
Puntos clave
Este blog destaca una campaña sofisticada que utiliza IA para aplicar ingeniería social a las víctimas para que descarguen malware poco detectado que tiene la capacidad de robar información financiera. Aunque el uso de aplicaciones Electron maliciosas es relativamente nuevo, ha habido un aumento de actores de amenazas que crean malware con aplicaciones Electron. A medida que las aplicaciones Electron se vuelven cada vez más comunes, los usuarios deben permanecer atentos verificando las fuentes, implementando prácticas de seguridad estrictas y monitoreando la actividad sospechosa.
Si bien gran parte del enfoque reciente se ha centrado en el potencial de la IA para crear malware, los actores de amenazas están utilizando cada vez más la IA para generar contenido para sus campañas. El uso de la IA permite a los actores de amenazas crear rápidamente contenido realista para sitios web que agrega legitimidad a sus estafas y hace que sea más difícil detectar sitios web sospechosos. Este cambio muestra cómo la IA se puede utilizar como una herramienta poderosa en la ingeniería social. Como resultado, los usuarios deben tener cuidado cuando se les acercan oportunidades comerciales, especialmente a través de Telegram. Incluso si el contacto parece ser un contacto existente, es importante verificar la cuenta y ser siempre diligente al abrir enlaces.
IOC
http://172[.]104.133.212:8880/new_analytics
http://172[.]104.133.212:8880/opened
http://172[.]104.133.212:8880/metrics
http://172[.]104.133.212:8880/sede
139[.]162[.]179.170:8080
delive rynetwork[.]observer/qfast/UpdateMC.zip
deliverynetwork[.]observer/qfast/AdditionalFilesForMeet.zip
www[.]meeten.us
www[.]meetio.one
www[.]meetone.gg
www[.]clusee.com
199[.]247.4.86
Consulte el informe completo en Cado Security Labs para obtener todos los detalles.