Incidents associés
Les laboratoires de sécurité Cado ont identifié une nouvelle arnaque sophistiquée ciblant les personnes qui travaillent dans le Web3. La campagne comprend le voleur de crypto-monnaies Realst qui possède des variantes macOS et Windows, et est active depuis environ quatre mois. Les acteurs de la menace derrière le malware ont créé de fausses entreprises utilisant l'IA pour les rendre plus légitimes. L'entreprise, qui se fait actuellement appeler « Meetio », a changé de nom au cours des derniers mois. Afin d'apparaître comme une entreprise légitime, les acteurs de la menace ont créé un site Web avec du contenu généré par l'IA, ainsi que des comptes de médias sociaux. L'entreprise contacte les cibles pour organiser un appel vidéo, invitant l'utilisateur à télécharger l'application de réunion à partir du site Web, qui est le voleur d'informations Realst.
« Meeten » est l'application qui tente d'arnaquer les utilisateurs pour qu'ils téléchargent un voleur d'informations. L'entreprise change régulièrement de nom, et s'est également fait appeler Clusee[.]com, Cuesee, Meeten[.]gg, Meeten[.]us, Meetone[.]gg et se fait actuellement appeler Meetio. Afin de gagner en crédibilité, les acteurs malveillants ont créé des sites Web d'entreprise complets, avec un blog généré par l'IA et du contenu de produit et des comptes de médias sociaux, notamment Twitter et Medium.
Selon les rapports des cibles, l'escroquerie est menée de plusieurs manières. Dans un cas signalé, un utilisateur a été contacté sur Telegram par une connaissance qui souhaitait discuter d'une opportunité commerciale et planifier un appel. Cependant, le compte Telegram a été créé pour se faire passer pour un contact de la cible. Plus intéressant encore, l'escroc lui a envoyé une présentation d'investissement de l'entreprise de la cible, ce qui indique une escroquerie sophistiquée et ciblée. D'autres rapports d'utilisateurs ciblés indiquent avoir participé à des appels liés au travail de Web3, avoir téléchargé le logiciel et s'être fait voler leur crypto-monnaie.
Après le contact initial, la cible serait dirigée vers le site Web de Meeten pour télécharger le produit. En plus d'héberger des voleurs d'informations, les sites Web de Meeten contiennent du Javascript pour voler la crypto-monnaie stockée dans les navigateurs Web, avant même l'installation de tout logiciel malveillant.
Une fois que la victime est dirigée vers le site Web « Meeten », la page de téléchargement propose macOS ou Windows/Linux. Dans cette itération du site Web, tous les liens de téléchargement mènent à la version macOS. Le fichier de package contient un binaire 64 bits nommé « fastquery », mais d'autres versions du malware sont distribuées sous forme de DMG avec un binaire multi-arch. Le binaire est écrit en Rust, la principale fonctionnalité étant le vol d'informations.
Lors de l'ouverture, deux messages d'erreur s'affichent. Le premier indique « Impossible de se connecter au serveur. Veuillez réinstaller ou utiliser un VPN. » avec un bouton Continuer. Osascript, l'outil de ligne de commande macOS pour exécuter AppleScript et JavaScript, est utilisé pour demander à l'utilisateur son mot de passe, comme on le voit souvent dans les malwares macOS.
Le malware parcourt différents magasins de données, récupère des informations sensibles, crée un dossier où les données sont stockées, puis exfiltre les données sous forme de zip.
Realst Stealer recherche et exfiltre si disponibles :
- Informations d'identification Telegram
- Informations de carte bancaire
- Informations d'identification du trousseau
- Cookies de navigateur et informations d'identification à saisie automatique de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc et Vivaldi
- Portefeuilles Ledger
- Portefeuilles Trezor
Les données sont envoyées à 139[.]162[.]179.170:8080/new_analytics avec « log_id », « anal_data » et « archive ». Cela contient les données zip à exfiltrer ainsi que des analyses qui incluent le nom de build, la version de build, avec des informations système.
Les informations de build sont également envoyées à 139[.]162[.]179.170:8080/opened avec des métriques envoyées à /metrics. Après l'exfiltration des données, les répertoires temporaires créés sont supprimés du système.
Lors de l'analyse de la version macOS de Meeten, Cado Security Labs a identifié une version Windows du malware. Le binaire, « MeetenApp.exe », est un fichier Nullsoft Scriptable Installer System (NSIS), avec une signature légitime de « Brys Software » qui a probablement été volée.
Après avoir extrait les fichiers du programme d'installation, il y a deux dossiers $PLUGINDIR et $R0. À l'intérieur de $PLUGINDIR se trouve une archive 7zip nommée « app-64 » qui contient des ressources, des actifs, des binaires et un fichier app.asar, indiquant qu'il s'agit d'une application Electron. Les applications Electron sont construites sur le framework Electron qui est utilisé pour développer des applications de bureau multiplateformes avec des langages Web tels que Javascript. Les fichiers App.asar sont utilisés par l'environnement d'exécution Electron et constituent un système de fichiers virtuel contenant le code de l'application, les actifs et les dépendances.
Il s'agit de deux fichiers Javascript compilés par Bytenode. Bytenode est un outil qui compile le code JavaScript en bytecode V8, permettant l'exécution de JavaScript sans exposer le code source. Le bytecode est une représentation de bas niveau du code JavaScript qui peut être exécuté par le moteur JavaScript V8 qui alimente Node.js. Étant donné que le Javascript est compilé, la rétro-ingénierie des fichiers est plus difficile et moins susceptible d'être détectée par les outils de sécurité.
Pendant que le fichier est compilé, il reste des informations que nous pouvons voir sous forme de texte brut. De la même manière que pour la version macOS, un journal contenant des informations système est envoyé à un serveur distant. Une archive secondaire protégée par mot de passe, « AdditionalFilesForMeet.zip », est récupérée à partir de deliverynetwork[.]observer dans un répertoire temporaire « temp03241242 ».
De AdditionalFilesForMeet.zip se trouve un binaire nommé « MicrosoftRuntimeComponentsX86.exe ». Ce binaire rassemble des informations système, notamment le HWID, l'IP géographique, le nom d'hôte, le système d'exploitation, les utilisateurs, les cœurs, la RAM, la taille du disque et les processus en cours d'exécution.
Ces données sont envoyées à 172[.]104.133.212/opened, avec la version de build de Meeten.
Une charge utile supplémentaire est récupérée « UpdateMC.zip » à partir de « deliverynetwork[.]observer/qfast » dans AppData/Local/Temp. Le fichier d'archive est extrait dans UpdateMC.exe.
UpdateMC.exe est un binaire basé sur Rust, avec des fonctionnalités similaires à la version macOS. Le voleur recherche dans divers magasins de données pour collecter et exfiltrer des données sensibles sous forme de zip. Meeten a la capacité de voler des données à partir de :
- Identifiants Telegram
- Détails de carte bancaire
- Cookies de navigateur, historique et identifiants de saisie automatique de Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc et Vivaldi
- Portefeuilles Ledger
- Portefeuilles Trezor
- Portefeuilles Phantom
- Portefeuilles Binance
Les données sont stockées dans un dossier nommé d'après le HWID des utilisateurs dans le répertoire AppData/Local/Temp avant d'être exfiltrées vers 172[.]104.133.212.
Pour la persistance, une clé de registre est ajoutée à HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour garantir que le voleur est exécuté à chaque démarrage de la machine.
Principaux points à retenir
Ce blog met en lumière une campagne sophistiquée qui utilise l'IA pour manipuler les victimes par ingénierie sociale afin qu'elles téléchargent des logiciels malveillants peu détectés qui ont la capacité de voler des informations financières. Bien que l'utilisation d'applications malveillantes Electron soit relativement nouvelle, on constate une augmentation du nombre d'acteurs malveillants créant des logiciels malveillants avec les applications Electron. Les applications Electron devenant de plus en plus courantes, les utilisateurs doivent rester vigilants en vérifiant les sources, en mettant en œuvre des pratiques de sécurité strictes et en surveillant les activités suspectes.
Si l'accent a récemment été mis sur le potentiel de l'IA à créer des logiciels malveillants, les acteurs malveillants utilisent de plus en plus l'IA pour générer du contenu pour leurs campagnes. L'utilisation de l'IA permet aux acteurs malveillants de créer rapidement du contenu de site Web réaliste qui ajoute de la légitimité à leurs escroqueries et rend plus difficile la détection de sites Web suspects. Ce changement montre comment l'IA peut être utilisée comme un outil puissant d'ingénierie sociale. Par conséquent, les utilisateurs doivent faire preuve de prudence lorsqu'ils sont approchés au sujet d'opportunités commerciales, en particulier via Telegram. Même si le contact semble être un contact existant, il est important de vérifier le compte et de toujours être diligent lors de l'ouverture de liens.
IOCs
http://172[.]104.133.212:8880/new_analytics
http://172[.]104.133.212:8880/opened
http://172[.]104.133.212:8880/metrics
http://172[.]104.133.212:8880/sede
139[.]162[.]179.170:8080
delive rynetwork[.]observer/qfast/UpdateMC.zip
deliverynetwork[.]observer/qfast/AdditionalFilesForMeet.zip
www[.]meeten.us
www[.]meetio.one
www[.]meetone.gg
www[.]clusee.com
199[.]247.4.86
Veuillez consulter le rapport complet sur Cado Security Labs pour tous les détails.