Meeten Malware, Toplantı Uygulamalarını Kullanarak Kripto Cüzdanlarını Hedef Alıyor

“Meeten” adı verilen yeni bir kötü amaçlı yazılım kampanyası, hassas verileri ve kripto paraları çalmak için sahte bir toplantı uygulaması kullanarak Web3 profesyonellerini hedef alıyor.

Cado Security Labs tarafından keşfedilen bu zararlı yazılım, macOS ve Windows platformlarında çalışır ve AI üretimi içeriklerin kullanılmasıyla meşru görünmek için tasarlanmış karmaşık bir phishing dolandırıcılığının parçasıdır.

Meeten’in arkasındaki saldırganlar, “Meetio” adında sahte bir şirketin temsilcileri gibi davranıyorlar, bu şirket daha önce Clusee ve Meeten.gg gibi birçok takma ad altında faaliyet göstermiş.

Kurbanları tuzağa düşürmek için, dolandırıcılar, güvenilirliklerini sağlamak amacıyla profesyonel görünümlü web siteleri oluşturuyorlar, bu siteler AI tarafından oluşturulan bloglar ve sosyal medya profilleri ile tamamlanıyor.

Kurbanlar genellikle Telegram üzerinden, çoğunlukla tanıdık bir kişiyi taklit eden biri tarafından yaklaşılarak, bir video çağrısı aracılığıyla iş fırsatlarını tartışmaya davet edilirler.

Kurban, sahte şirketin web sitesinden “Meeten” toplantı uygulamasını indirmeye yönlendirilir. Ancak, uygulama meşru bir konferans aracı yerine, bir bilgi hırsızıdır.

Bu zararlı yazılım, kripto para birimini, tarayıcı kimlik bilgilerini ve hassas kişisel bilgileri dışarı sızmak üzere tasarlanmıştır.

Bazı durumlarda, dolandırıcılar kurbanlara kendi şirketlerinden yatırım sunumları göndererek, onları dolandırıcılığın gerçekliğine daha da ikna ederler. Çünkü bu, onların kapsamlı planlamalarını gösterir.

Kurbanlar, uygulamayı indirdikten sonra kripto para birimi ve diğer finansal varlıklarını kaybettiklerini bildiriyor.

Özellikle, Meeten web siteleri, zararlı yazılım kendisi yüklenmemiş olsa bile tarayıcılarda saklanan kripto parayı çalabilen JavaScript’e sahip. Bu, saldırının katmanlı doğasını gösteriyor, burada kurbanların varlıkları birden fazla aşamada tehlikeye girebilir.

Meeten’in macOS versiyonu, kendini “fastquery” adında bir 64-bit Rust binary olarak gizler. Bir kez çalıştırıldığında, bir bağlantı hatası kılığına bürünerek kullanıcının şifresini bir pop-up aracılığıyla ister.

Malware daha sonra hassas bilgileri arar, bunlar arasında tarayıcı çerezleri, otomatik doldurma kimlik bilgileri ve Ledger ve Trezor gibi popüler kripto cüzdanlarından cüzdan verileri bulunur. Çalınan veriler, bir zip dosyasına paketlenir ve bir uzak sunucuya gönderilir.

Meeten’in Windows versiyonu, tarayıcılardan veri hedeflemek, Telegram kimlik bilgilerini ve kripto cüzdanları kullanmak için Electron tabanlı bir uygulama yapısı kullanır. Ayrıca, tespiti önlemek için JavaScript’i baytkoda derleme gibi gelişmiş teknikler kullanır.

Bu kampanyadaki AI kullanımı, siber tehditlerin artan karmaşıklığını vurgular.

AI tarafından üretilen içerik, kullanıcıların sahte web sitelerini tespit etmelerini zorlaştıran bir meşruluk görüntüsü katar. Bu, AI’nın sadece kötü amaçlı yazılım geliştirmek için değil, aynı zamanda ikna edici sosyal mühendislik kampanyaları oluşturmak için de kullanıldığı artan bir trendi temsil ediyor.

Rapor edilen bir dolandırıcılık vakasında, kurban, neredeyse gerçek bir yatırım sunumuyla tamamlanan bir tanıdığını taklit eden bir Telegram hesabı tarafından iletişime geçildi. Güven sağlandıktan sonra, kurban, kötü amaçlı yazılımı barındıran Meeten web sitesine yönlendirildi.

Kurban olmamak için, kullanıcıların iş ilişkilerinin doğruluğunu doğrulamaları önerilir. Her zaman web site URL’lerini kontrol edin, doğrulanmamış kaynaklardan yazılım indirmekten kaçının ve sıkı siber güvenlik uygulamalarını sürdürün.