Cado Security Labs は、Web3 で働く人々を狙った新たな巧妙な詐欺を特定しました。このキャンペーンには、macOS と Windows の両方の亜種があり、約 4 か月間活動している暗号窃盗型マルウェア Realst が含まれています。このマルウェアの背後にいる脅威アクターは、AI を使用して偽の会社を設立し、その正当性を高めています。現在「Meetio」という名前で知られているこの会社は、過去数か月間にさまざまな名前を循環させてきました。正当な会社に見せるために、脅威アクターは AI 生成コンテンツとソーシャル メディア アカウントを含む Web サイトを作成しました。この会社はターゲットに連絡してビデオ通話を設定し、ユーザーに Web サイトから会議アプリケーションをダウンロードするよう促し�ます。このアプリケーションは Realst 情報窃盗型マルウェアです。
「Meeten」は、ユーザーを騙して情報窃盗型マルウェアをダウンロードさせようとするアプリケーションです。この会社は定期的に名前を変えており、Clusee[.]com、Cuesee、Meeten[.]gg、Meeten[.]us、Meetone[.]gg とも呼ばれ、現在は Meetio という名前で知られています。脅威アクターは信頼性を高めるために、AI が生成したブログや製品コンテンツ、Twitter や Medium などのソーシャル メディア アカウントを備えた完全な企業 Web サイトを構築します。
ターゲットからの報告によると、詐欺は複数の方法で実行されます。報告された 1 つの例では、ビジネス チャンスについて話し合い、電話の予定を立てたいと考えている知人から Telegram で連絡がありました。ただし、Telegram アカウントはターゲットの連絡先になりすますために作成されました。さらに興味深いことに、詐欺師はターゲットの会社からの投資プレゼンテーションを彼に送信しており、これは巧妙で標的を絞った詐欺を示しています。ターゲットとなったユーザーの他の報告では、Web3 関連の通話に出て、ソフトウェアをダウンロードし、暗号通貨を盗まれたと報告されています。
最初の連絡の後、ターゲットは Meeten Web サイトに誘導され、製品をダウンロードします。Meeten Web サイトには、情報窃盗ツールをホストするだけでなく、マルウェアをインストールする前であっても、Web ブラウザーに保存されている暗号通貨を盗むための JavaScript が含まれています。
被害者が「Meeten」Web サイトに誘導されると、ダウンロード ページには macOS または Windows/Linux が提供されます。このバージョンの Web サイトでは、ダウンロード リンクはすべて macOS バージョンにリンクされています。パッケージ ファイルには「fastquery」という 64 ビット バイナリが含まれていますが、マルウェアの他のバージョンはマルチアーキテクチャ バイナリを含む DMG として配布されています。バイナリは Rust で記述されており、主な機能は情報の窃取です。
開くと、2 つのエラー メッセージが表示されます。最初のメッセージは「サーバーに接続できません。再インストールするか、VPN を使用してください。」で、続行ボタンが付いています。AppleScript と JavaScript を実行するための macOS コマンドライン ツールである Osascript は、ユーザーにパスワードの入力を求めるために使用されます。これは、macOS マルウェア でよく見られます。
マルウェアはさまざまなデータ ストアを反復処理し、機密情報を取得し、データを保存するフォルダーを作成してから、データを zip として抽出します。
Realst Stealer は、次の情報を探し、可能であれば盗み出します。
- Telegram の認証情報
- 銀行カードの詳細
- キーチェーンの認証情報
- Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc、Vivaldi のブラウザ クッキーと自動入力の認証情報
- Ledger ウォレット
- Trezor ウォレット
データは、「log_id」、「anal_data」、「archive」とともに 139[.]162[.]179.170:8080/new_analytics に送信されます。これには、ビルド名、ビルド バージョン、システム情報を含む分析情報とともに、盗み出される zip データが含まれます。
ビルド情報も、/metrics に送信されるメトリックとともに 139[.]162[.]179.170:8080/opened に送信されます。データの盗み出し後、作成された一時ディレクトリはシステムから削除されます。
Cado Security Labs は、macOS 版の Meeten を分析しているときに、このマルウェアの Windows 版を特定しました。バイナリ「MeetenApp.exe」は Nullsoft Scriptable Installer System (NSIS) ファイルで、「Brys Software」の正規の署名が付いていますが、おそらく盗まれたものです。
インストーラからファイルを抽出すると、$PLUGINDIR と $R0 の 2 つのフォルダーがあります。$PLUGINDIR の中には、「app-64」という名前の 7zip アーカイブがあり、リソース、アセット、バイナリ、app.asar ファイルが含まれています。これは、これが Electron アプリケーションであることを示しています。Electron アプリケーションは、Javascript などの Web 言語を使用してクロスプラットフォーム デスクトップ アプリケーションを開発するために使用される Electron フレームワーク上に構築されています。app.asar ファイルは、Electron ランタイムによって使用され、アプリケーション コード、アセット、依存関係を含む仮想ファイル システムです。
これらは両方とも、Bytenode でコンパイルされた Javascript ファイルです。 Bytenode は、JavaScript コードを V8 バイトコードにコンパイルするツールで、ソースコードを公開せずに JavaScript を実行できます。バイトコードは、Node.js を動かす V8 JavaScript エンジンで実行できる JavaScript コードの低レベル表現です。JavaScript はコンパイルされているため、ファイルのリバース エンジニアリングはより困難で、セキュリティ ツールによって検出され��る可能性も低くなります。
ファイルがコンパイルされている間も、プレーン テキストとして表示できる情報がいくつか残っています。macOS バージョンと同様に、システム情報を含むログがリモート サーバーに送信されます。セカンダリ パスワード保護アーカイブ「AdditionalFilesForMeet.zip」が、deliverynetwork[.]observer から一時ディレクトリ「temp03241242」に取得されます。
AddedFilesForMeet.zip には、「MicrosoftRuntimeComponentsX86.exe」というバイナリがあります。このバイナリは、HWID、geo IP、ホスト名、OS、ユーザー、コア、RAM、ディスク サイズ、実行中のプロセスなどのシステム情報を収集します。
このデータは、Meeten のビルド バージョンとともに 172[.]104.133.212/opened に送信されます。
追加のペイロードは、「deliverynetwork[.]observer/qfast」から「UpdateMC.zip」として取得され、AppData/Local/Temp に格納されます。アーカイブ ファイルは UpdateMC.exe に抽出されます。
UpdateMC.exe は Rust ベースのバイナリで、macOS バージョンと同様の機能を備えています。スティーラーはさまざまなデータ ストアを検索し、機密データを zip として収集して盗み出します。 Meeten は、次のデータを盗むことができます。
- Telegram の認証情報
- 銀行カードの詳細
- Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc、Vivaldi のブラウザ クッキー、履歴、自動入力の認証情報
- Ledger ウォレット
- Trezor ウォレット
- Phantom ウォレット
- Binance ウォレット
データは、172[.]104.133.212 に流出する前に、AppData/Local/Temp ディレクトリ内のユーザーの HWID にちなんで名付けられたフォルダーに保存されます。
永続性を確保するために、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にレジストリ キーが追加され、マシンが起動するたびにスティーラーが実行されるようになっています。
重要なポイント
このブログでは、AI を使用してソーシャル エンジニアリングを行い、金融情報を盗む機能を持つ検出率の低いマルウェアを被害者にダウンロードさせる高度なキャンペーンについて取り上げています。悪意のある Electron アプリケーションの使用は比較的新しいものですが、Electron アプリケーション を使用してマルウェアを作成する脅威アクターが増加しています。Electron アプリがますます一般的になるにつれて、ユーザーはソースを確認し、厳格なセキュリティ プラクティスを実装し、疑わしいアクティビティを監視することで警戒を怠ってはなりません。
最近の焦点の多くは AI によるマルウェア作成の可能性にありますが、脅威アクターは AI を使用してキャンペーンのコンテンツを生成することが増えています。AI を使用すると、脅威アクターは詐欺に正当性を与え、疑わしい Web サイトの検出を困難にするリアルな Web サイト コンテンツを迅速に作成できます。この変化は、AI がソーシャル エンジニアリングの強力なツールとしてどのように使用できるかを示しています。そのため、ユーザーは、特にTelegramを通じてビジネスチャンスについてアプローチされた場合には注意を払う必要があります。連絡先が既存の連絡先のように��見えても、アカウントを確認し、リンクを開くときは常に注意を払うことが重要です。
IOC
http://172[.]104.133.212:8880/new_analytics
http://172[.]104.133.212:8880/opened
http://172[.]104.133.212:8880/metrics
http://172[.]104.133.212:8880/sede
139[.]162[.]179.170:8080
delive rynetwork[.]observer/qfast/UpdateMC.zip
deliverynetwork[.]observer/qfast/AdditionalFilesForMeet.zip
www[.]meeten.us
www[.]meetio.one
www[.]meetone.gg
www[.]clusee.com
199[.]247.4.86
詳細については、Cado Security Labs の完全なレポートをご覧ください。