Мошенники атакуют работников Web3 с помощью поддельных приложений для проведения встреч

Работники Web3 все чаще подвергаются атакам хакеров, которые использует поддельные приложения для проведения встреч, чтобы внедрять вредоносное ПО и красть учетные данные на веб-сайты, приложения и криптокошельки, предупреждает Cado Security Labs.

Мошенники используют искусственный интеллект для создания и заполнения веб-сайтов и учетных записей в социальных сетях, чтобы они выглядели как настоящие компании, прежде чем связываться с потенциальными жертвами, чтобы побудить их загрузить приложение для проведения встреч, написала руководитель исследования угроз Cado Тара Гулд в отчете от 6 декабря.

Приложение называется «Meeten», но в настоящее время оно носит название «Meetio» и регулярно меняет названия. В прошлом оно использовало Clusee.com, Cuesee, Meeten.gg, Meeten.us и Meetone.gg.

Приложение содержит похититель информации Realst и после загрузки будет искать конфиденциальные данные, такие как логины Telegram, данные банковских карт и информацию о криптокошельках, чтобы отправить их злоумышленникам.

Источник: Cado Security Labs.

Похититель также может искать файлы cookie браузера и данные для автозаполнения из таких приложений, как Google Chrome и Mircosoft Edge, а также информацию о кошельках Ledger, Trezor и Binance.

Схема может включать социальную инженерию и спуфинг. Один пользователь сообщил, что с ним через Telegram связался знакомый, который хотел обсудить бизнес-возможности, но позже был разоблачен как самозванец.

«Еще интереснее то, что мошенник отправил ему инвестиционную презентацию от компании цели, что указывает на сложную и целенаправленную аферу», — сказал Гулд.

Другие также сообщили, что им «звонили в связи с работой Web3, загружали программное обеспечение и крали криптовалюту», — добавил Гулд.

Поддельное приложение для встреч циклически перебирает имена вместе с сайтом, заполненным контентом, сгенерированным ИИ, чтобы казаться более законным. Источник: Cado Security Labs.

Чтобы завоевать доверие, мошенники создали веб-сайт компании с блогами, созданными ИИ, контентом продуктов и сопутствующими аккаунтами в социальных сетях, включая X и Medium.

«Хотя в последнее время основное внимание уделялось потенциалу ИИ для создания вредоносного ПО, злоумышленники все чаще используют ИИ для создания контента для своих кампаний», — сказал Гулд.

«Использование ИИ позволяет злоумышленникам быстро создавать реалистичный контент веб-сайта, который добавляет легитимности их мошенничеству и затрудняет обнаружение подозрительных веб-сайтов», — пояснил он.

Поддельные веб-сайты, на которых пользователям предлагается загрузить вредоносное ПО, также содержат Javascript для кражи криптовалюты, хранящейся в веб-браузерах, даже до установки какого-либо вредоносного ПО.

Мошенники создали варианты как для macOS, так и для Windows. Гулд говорит, что схема действует уже около четырех месяцев.

Другие мошенники также активно используют эту тактику. В августе ончейн-сыщик ZackXBT заявил, что обнаружил 21 разработчика, вероятно, северокорейцев, работающих над различными криптопроектами с использованием поддельных удостоверений личности.

В сентябре ФБР выпустило предупреждение о северокорейских хакерах, атакующих криптокомпании и децентрализованные финансовые проекты с помощью вредоносного ПО, замаскированного под предложения о трудоустройстве.

Источник