Realst adlı bir bilgi hırsızı sunmak için sahte video konferans uygulamalarından yararlanan Web3’ü hedef alan yeni bir dolandırıcılık girişimi gözlemlendi.
Realst kripto hırsızı neredeyse dört aydır aktif ve hem macOS hem de Windows kullanıcılarını hedef alıyor.
“Meetio” gibi saygın firmaların kisvesi altında ve Clusee, Cuesee, Meeten ve Meetone gibi isimlerle faaliyet gösteren saldırganlar, kötü amaçlı yazılım yaymak amacıyla ikna edici web siteleri ve sosyal medya profilleri oluşturmak için yapay zeka tarafından oluşturulan içerikten yararlanıyor.
Şirket, bir görüntülü görüşme düzenlemek için hedeflerle iletişime geçiyor ve kullanıcıdan Realst bilgi hırsızı olan toplantı uygulamasını web sitesinden indirmesini istiyor.
Meeten Kötü Amaçlı Yazılım, macOS ve Windows Kullanıcılarına Saldırıyor
Hedefler, dolandırıcılıkların çeşitli yöntemler kullanılarak gerçekleştirildiğini bildirdi. Belgelenen vakalardan birinde, bir kullanıcı Telegram’da bir arkadaşından bir görüşme ayarlamak ve bir iş fırsatı hakkında konuşmak isteyen bir mesaj aldı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Ancak Telegram hesabının amacı hedefin bağlantılarından biri olmaktı.
Dolandırıcının hedefe, hedefin işinden bir yatırım sunumu sunması ise daha da ilgi çekicidir ve aldatmacanın iyi planlandığını düşündürmektedir.
Raporlar, hedeflenen kurbanların programı indirdiğini, Web3 çalışmasıyla ilgili görüşmelerde bulunduğunu ve kripto para birimlerinin çalındığını söylüyor.
“İlk temastan sonra hedef, ürünü indirmek için Meeten web sitesine yönlendirilecek. Cado Security Labs, bilgi hırsızlarını barındırmanın yanı sıra, Meeten web sitelerinin, herhangi bir kötü amaçlı yazılım yüklenmeden önce bile web tarayıcılarında saklanan kripto para birimini çalmak için Javascript içerdiğini söyledi.
Kötü amaçlı yazılım, çeşitli veri depolarını yineler, hassas bilgileri çıkarır, verileri tutacak bir klasör oluşturur ve ardından onu zip olarak dışarı sızdırır.
Realst Stealer aşağıdaki bilgileri sızdırır:
- Telgraf kimlik bilgileri
- Banka kartı ayrıntıları
- Anahtarlık kimlik bilgileri
- Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc ve Vivaldi’den tarayıcı çerezleri ve otomatik doldurma kimlik bilgileri
- Defter Cüzdanları
- Trezor Cüzdanları
Kötü amaçlı yazılımın Windows sürümü araştırmacılar tarafından tespit edildi. İkili “MeetenApp.exe”, büyük olasılıkla çalınmış olan “Brys Yazılımı”ndan geçerli bir imzaya sahip bir Nullsoft Komut Dosyalı Yükleyici Sistemi (NSIS) dosyasıdır.
Kurulum, saldırgan tarafından kontrol edilen bir alandan Rust tabanlı bir ikili dosya olan çalıntı yürütülebilir dosyayı almak üzere yapılandırılmış bir Electron uygulamasını içerir.
Rust tabanlı ikili UpdateMC.exe, macOS sürümüne benzer şekilde çalışır. Bilgisayar korsanı, birden fazla veri deposunda arama yaparak hassas verileri bir zip dosyasında toplar ve sızdırır.
Meeten aşağıdakilerden bilgi çalabilir:
- Telgraf kimlik bilgileri
- Banka kartı ayrıntıları
- Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc ve Vivaldi’den tarayıcı çerezleri, geçmiş ve otomatik doldurma kimlik bilgileri
- Defter Cüzdanları
- Trezor Cüzdanları
- Hayalet Cüzdanlar
- Binance Cüzdanları
Electron uygulamaları yaygınlaştıkça, kullanıcıların kaynakları doğrulayarak, sıkı güvenlik protokollerini uygulayarak ve olağandışı etkinlikleri izleyerek dikkatli olmaları gerekiyor.
Kullanıcılar, özellikle Telegram aracılığıyla ticari fırsatlar konusunda talepte bulunma konusunda dikkatli olmalıdır. İlgili kişi yerleşik bir kişi gibi görünse bile, hesabı onaylamak ve bağlantılara tıklarken dikkatli olmak çok önemlidir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses