Hacker stealing crypto

サイバー犯罪者は、WindowsやMacを暗号を盗むマルウェアに感染させる不正なビデオ会議プラットフォームを使用して、偽のビジネス会議でWeb3で働く人々をターゲットにしている。

このキャンペーンは、会議ソフトウェアで一般的に使用されている名前にちなんで「Meeten」と名付けられ、2024年9月から実施されている。

Windows版とmacOS版の両方が存在するこのマルウェアは、被害者の暗号通貨資産、銀行情報、ウェブブラウザに保存された情報、Keychain認証情報(Macの場合)を狙っている。

MeetenはCado Security Labsによって発見され、脅威行為者は偽の会議ソフトウェアの名前やブランド名を常に変えており、以前は “Clusee”、”Cuesee”、”Meetone”、”Meetio “といった名前を使用していたと警告している。

Website spreading Realst stealer
Realst stealer を広めるウェブサイト
ソースはこちら:Cado

これらの偽ブランドは、一見公式のウェブサイトや、AIが生成したコンテンツで構成されたソーシャルメディアのアカウントによって裏打ちされ、正当性を増している。

訪問者はフィッシングやソーシャル・エンジニアリングによってサイトにたどり着き、会議用アプリケーションと思われるものをダウンロードするよう促されるが、実際にはRealst stealerである。

「ターゲットからの報告によると、この詐欺は複数の方法で行われている。報告されている一例では、あるユーザーがTelegramで、ビジネスチャンスについて話し合い、通話を予約したいという知り合いから連絡を受けた。しかし、Telegramのアカウントはターゲットの連絡先になりすまして作成されたものだった。さらに興味深いことに、詐欺師はターゲットの会社から投資プレゼンテーション資料を送っており、洗練された標的型詐欺であることがわかる。ターゲットにされたユーザーの他の報告では、Web3の仕事に関連する通話を受け、ソフトウェアをダウンロードし、暗号通貨を盗まれたと報告している。

最初の接触後、ターゲットは製品をダウンロードするためにミーティンのウェブサイトに誘導される。情報窃盗犯をホスティングすることに加え、Meetenのウェブサイトには、マルウェアをインストールする前であっても、ウェブブラウザに保存されている暗号通貨を盗むためのJavascriptが含まれている。”

❖ Cado Security

Realstマルウェアに加えて、Cadoによれば、”Meeten “ウェブサイトは、サイトに接続するウォレットから資金を流出させようとするJavaScriptをホストしている。

マックとウィンドウズをターゲットに

macOS版のミーティング・ソフトウェアをダウンロードしようとすると、「CallCSSetup.pkg」という名前のパッケージがダウンロードされるが、過去には他のファイル名も使用されたことがある。

実行されると、macOSのコマンドラインツール「osascript」を使用して、ユーザーにシステムパスワードの入力を求め、権限の昇格につながる。

Password prompt served to users
パスワードプロンプトをユーザーに提供
Source:Cado

パスワードを入力すると、マルウェアは「サーバーに接続できません。再インストールするか、VPNを使用してください。” というメッセージが表示される。

しかし、バックグラウンドでRealstマルウェアは、コンピュータ上でホストされている以下のようなデータを盗み出します:

  • Telegramの認証情報
  • バンキングカードの詳細
  • キーチェーンの認証情報
  • Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc、Vivaldiのブラウザクッキーとオートフィル認証情報
  • LedgerとTrezorのウォレット

データはまずローカルにフォルダに保存され、zip圧縮され、最終的にビルド名、バージョン、システム情報などのマシンの詳細とともにリモートアドレスに流出する。

RealstのWindows版は、「MeetenApp.exe」という名前のNullsoft Scriptable Installer System(NSIS)ファイルとして配布され、Brys Softwareから盗まれた証明書を使用してデジタル署名されています。

Payload's digital signature
ペイロードのデジタル署名
ソースはこちら:Cado

このインストーラには、7zipアーカイブ(「app-64」)と、JavaScriptとリソースを含むElectronアプリケーションのコア(「app.asar」)が含まれており、検出を回避するためにBytenodeを使用してV8バイトコードにコンパイルされています。

Electronアプリは、”deliverynetwork[.]observer “にあるリモートサーバーに接続し、システムプロファイラ(”MicrosoftRuntimeComponentsX86.exe”)とメインのマルウェアペイロード(”UpdateMC.exe”)を含むパスワードで保護されたアーカイブ(”AdditionalFilesForMeet.zip”)をダウンロードします。

System info collected by the malware
マルウェアによって収集されたシステム情報
Source:Cado

Rustベースの実行ファイルは、以下の情報を収集し、ZIPファイルに追加して、その情報を流出させようとします:

  • Telegram の認証情報
  • バンキングカードの詳細
  • Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc、Vivaldiのブラウザクッキー、履歴、オートフィル認証情報
  • Ledger、Trezor、Phantom、Binanceのウォレット

macOSと比較して、Windowsバージョンは、より精巧で多用途なペイロード配信メカニズム、より優れた回避、レジストリの変更を通じてリブート間で持続する能力を備えています。

全体として、ユーザーは、まずそのソフトウェアが正規のものであるかどうかを確認し、その後VirusTotalのようなマルチエンジンのアンチウイルスツールでスキャンすることなく、ソーシャルメディアを通じてユーザーから推奨されたソフトウェアをインストールするべきではありません。

ソーシャル・エンジニアリングは、この分野でターゲットと信頼関係を築き、最終的にターゲットを騙してマルウェアをインストールさせ、暗号通貨を盗むために使われる一般的な手口であるため、Web3で活動している人は特に脆弱である。