Malware Meeten Explora Apps de Reuniões para Visar Carteiras de Criptomoedas

Uma nova campanha de malware chamada “Meeten” está mirando profissionais Web3 usando um aplicativo falso de reuniões para roubar dados sensíveis e criptomoedas.

Descoberto pelo Cado Security Labs, o malware opera em plataformas macOS e Windows e faz parte de um sofisticado golpe de phishing projetado para parecer legítimo através do uso de conteúdo gerado por IA.

Os atacantes por trás do Meeten se passam por representantes de uma empresa falsa, “Meetio”, que já operou sob múltiplos pseudônimos, incluindo Clusee e Meeten.gg.

Para atrair vítimas, os golpistas criam sites com aparência profissional, completos com blogs gerados por IA e perfis em redes sociais, para estabelecer credibilidade.

As vítimas geralmente são abordadas via Telegram, muitas vezes por alguém que se passa por um contato conhecido, e são convidadas a discutir oportunidades de negócios por meio de uma chamada de vídeo.

A vítima é direcionada a baixar o aplicativo de reuniões “Meeten” do site da falsa empresa. No entanto, em vez de uma ferramenta de conferência legítima, o aplicativo é um ladrão de informações.

O malware é projetado para exfiltrar criptomoedas, credenciais de navegadores e informações pessoais sensíveis.

Em alguns casos, os golpistas demonstram um planejamento extenso ao enviar para as vítimas apresentações de investimento de suas próprias empresas, convencendo-as ainda mais da autenticidade do golpe.

As vítimas relatam perder criptomoeda e outros ativos financeiros após baixar o aplicativo.

Notavelmente, os sites do Meeten também incorporam JavaScript capaz de roubar criptomoeda armazenada nos navegadores, mesmo que o malware em si não esteja instalado. Isso demonstra a natureza em camadas do ataque, onde os ativos das vítimas podem ser comprometidos em várias etapas.

A variante macOS do Meeten se disfarça como um binário Rust de 64 bits chamado “fastquery”. Uma vez executado, ele solicita a senha do usuário por meio de um pop-up sob o pretexto de um erro de conexão.

O malware então procura por informações sensíveis, incluindo cookies do navegador, credenciais de preenchimento automático e dados de carteiras de criptomoedas populares como Ledger e Trezor. Os dados roubados são compactados em um arquivo zip e enviados para um servidor remoto.

A versão do Windows do Meeten usa uma estrutura de aplicativo baseada em Electron para direcionar dados de navegadores, credenciais do Telegram e carteiras de criptomoedas. Ele também emprega técnicas avançadas como a compilação de JavaScript em bytecode para evitar a detecção.

O uso de IA nesta campanha destaca a crescente sofisticação das ameaças cibernéticas.

O conteúdo gerado por IA adiciona um verniz de legitimidade, tornando mais difícil para os usuários detectarem sites fraudulentos. Isso representa uma tendência crescente em que a IA é usada não apenas para o desenvolvimento de malware, mas também para criar campanhas convincentes de engenharia social.

Um golpe relatado envolveu uma vítima sendo contatada por uma conta no Telegram que imitava um conhecido, completa com uma apresentação de investimento aparentemente genuína. Uma vez estabelecida a confiança, a vítima foi direcionada para o site Meeten, que hospedava o malware.

Para evitar se tornar vítima, os usuários são incentivados a verificar a autenticidade dos contatos comerciais. Sempre verifique as URLs dos sites, evite baixar software de fontes não verificadas e mantenha práticas rigorosas de cibersegurança.