Il Malware Meeten Sfrutta le App di Riunioni per Prendere di Mira i Portafogli Cripto

Una nuova campagna di malware chiamata “Meeten” sta prendendo di mira i professionisti del Web3 utilizzando una falsa applicazione per riunioni per rubare dati sensibili e criptovalute.

Scoperto da Cado Security Labs, il malware opera su piattaforme macOS e Windows ed è parte di una sofisticata truffa di phishing progettata per apparire legittima attraverso l’uso di contenuti generati da intelligenza artificiale.

Gli aggressori dietro a Meeten si spacciano per rappresentanti di una falsa azienda, “Meetio”, che ha operato sotto vari pseudonimi, tra cui Clusee e Meeten.gg.

Per attirare le vittime, gli truffatori creano siti web dall’aspetto professionale, completi di blog generati da intelligenza artificiale e profili sui social media, per stabilire credibilità.

Le vittime vengono solitamente avvicinate tramite Telegram, spesso da qualcuno che si finge un contatto conosciuto, e vengono invitate a discutere di opportunità di business attraverso una videochiamata.

La vittima viene indirizzata a scaricare l’applicazione per riunioni “Meeten” dal sito web della falsa azienda. Tuttavia, invece di uno strumento di conferenza legittimo, l’applicazione è uno strumento per rubare informazioni.

Il malware è progettato per esfiltrare criptovalute, credenziali del browser e informazioni personali sensibili.

In alcuni casi, gli truffatori dimostrano un’ampia pianificazione inviando alle vittime presentazioni di investimenti dalle loro stesse aziende, convincendole ulteriormente dell’autenticità della truffa.

Le vittime riferiscono di aver perso criptovaluta e altri beni finanziari dopo aver scaricato l’applicazione.

È degno di nota che i siti web di Meeten incorporano anche JavaScript in grado di rubare criptovalute archiviate nei browser, anche se il malware stesso non è installato. Questo dimostra la natura stratificata dell’attacco, in cui i beni delle vittime possono essere compromessi in diverse fasi.

La variante macOS di Meeten si maschera come un binario Rust a 64 bit chiamato “fastquery”. Una volta eseguito, richiede la password dell’utente tramite un pop-up sotto le sembianze di un errore di connessione.

Il malware quindi cerca informazioni sensibili, incluse i cookie del browser, le credenziali di completamento automatico e i dati del portafoglio da portafogli cripto popolari come Ledger e Trezor. I dati rubati vengono impacchettati in un file zip e inviati a un server remoto.

La versione Windows di Meeten utilizza una struttura di applicazione basata su Electron per prendere di mira i dati dai browser, le credenziali di Telegram e i portafogli criptovalute. Utilizza anche tecniche avanzate come la compilazione di JavaScript in bytecode per eludere il rilevamento.

L’uso dell’IA in questa campagna evidenzia l’aumento della sofisticazione delle minacce informatiche.

Il contenuto generato dall’IA aggiunge un velo di legittimità, rendendo più difficile per gli utenti rilevare siti web fraudolenti. Questo rappresenta una tendenza crescente in cui l’IA viene utilizzata non solo per lo sviluppo di malware, ma anche per creare convincenti campagne di ingegneria sociale.

Una truffa segnalata coinvolgeva una vittima contattata da un account Telegram che imitava una conoscenza, completo di una presentazione di investimento apparentemente autentica. Una volta stabilita la fiducia, la vittima è stata indirizzata al sito web di Meeten, che ospitava il malware.

Per evitare di cadere vittime, si invita gli utenti a verificare l’autenticità dei contatti commerciali. Controllate sempre gli URL dei siti web, evitate di scaricare software da fonti non verificate e mantenete rigorose pratiche di sicurezza informatica.