Gefälschte Meeting-Apps als Köder für Krypto-Diebstahl im Web3-Bereich

Cyberkriminelle verwenden gefälschte Videokonferenz-Apps, um an die Daten von Mitarbeitern im Web3-Sektor zu gelangen. Wie Cointelegraph berichtet, locken die Betrüger ihre Opfer mit dem Vorwand geschäftlicher Meetings in die Falle. Die Sicherheitsfirma Cado Security bezeichnet diese Aktivitäten unter dem Codenamen „Meeten“, da die gefälschten Webseiten Namen wie Clusee, Cuesee, Meeten, Meetone und Meetio verwenden.

Die Angriffe beginnen mit der Kontaktaufnahme potenzieller Opfer über Telegram. Die Täter bieten vermeintlich lukrative Investitionsmöglichkeiten an und drängen die Opfer, an einem Videoanruf über eine der gefälschten Plattformen teilzunehmen. Besucher der Webseiten werden aufgefordert, je nach Betriebssystem eine Windows- oder macOS-Version der App herunterzuladen. BleepingComputer zufolge erhalten Nutzer nach der Installation der macOS-Version eine Meldung, die behauptet, die App sei nicht vollständig mit ihrer macOS-Version kompatibel. Um die App nutzen zu können, werden sie zur Eingabe ihres Systempassworts aufgefordert.

Diese Methode, die ein osascript-Verfahren nutzt, wird von verschiedenen macOS-Stealer-Familien verwendet, darunter Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer und Cthulhu Stealer. Ziel des Angriffs ist der Diebstahl sensibler Daten, einschließlich Kryptowährungs-Wallets, die anschließend an einen Remote-Server gesendet werden. Die Malware kann auch Telegram-Anmeldedaten, Bankinformationen, iCloud Keychain-Daten und Browser-Cookies von verschiedenen Browsern wie Google Chrome, Microsoft Edge, Opera, Brave und Vivaldi stehlen.

Die Windows-Version der App ist eine NSIS-Datei (Nullsoft Scriptable Installer System), die mit einer wahrscheinlich gestohlenen, legitimen Signatur von Brys Software Ltd. signiert ist. Im Installer ist eine Electron-Anwendung eingebettet