據The Hacker News消息，網絡安全研究人員近日發現一種新的詐騙活動，利用虛假的商務視頻會議應用程序來針對 Web3 技術公司的工作人員，并傳播一種名為Realst 的信息竊取程序。

為了增強迷惑性和合法性，攻擊者利用AI設立了虛假公司。Cado Security 的研究員表示，該公司主動聯系目標建立視頻通話，提示用戶從網站上下載會議應用程序，也就是Realst信息竊取程序。

這一惡意活動被安全公司命名為 Meeten，因為攻擊者使用的虛假網站名稱分別為 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。

在實施過程中，攻擊者通過 Telegram平臺以尋找投資機會為幌子接近目標，誘導對方加入一個可疑平臺上托管的視頻通話。最終訪問該站點的受害者將被提示下載 Windows 或 macOS版本的客戶端，在macOS 上安裝并啟動后，會提示"當前版本的應用程序與 macOS 版本不完全兼容"，要求受害者輸入系統密碼才能正常使用該應用程序。

含有惡意軟件的視頻會議軟件客戶端下載頁面

該技術已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多個 macOS 竊取程序家族采用。 攻擊的最終目的是竊取各種敏感數據，包括加密貨幣錢包中的數據，并將其導出到遠程服務器。

該惡意軟件還可以竊取 Telegram 憑證、銀行信息、iCloud Keychain 數據以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、C?c C?c 和 Vivaldi 瀏覽器的 cookies。

而Windows 版應用程序 Nullsoft Scriptable Installer System (NSIS) 文件的簽名很可能是從 Brys Software Ltd. 竊取的合法簽名。 安裝程序中嵌入了一個 Electron 應用程序，該應用程序被配置為從攻擊者控制的域中檢索竊取器可執行文件（一個基于 Rust 的二進制文件）。

這已經不是第一次有人利用假冒會議軟件傳播惡意軟件了。 今年 3 月初，Jamf 威脅實驗室披露，它檢測到一個名為 meethub[.]gg 的假冒網站傳播與 Realst 有關的竊取惡意軟件。6月，Recorded Future 詳細描述了一場名為 markopolo 的活動，該活動針對加密貨幣用戶使用假冒的虛擬會議軟件，通過 Rhadamanthys、Steelc 和 Atomic 等盜號軟件來竊取用戶的資產。

此外，研究人員也稱，攻擊者正越來越多地使用AI為其活動生成內容，以此快速創建逼真的網站，從而增加其騙局的合法性，并使可疑網站更難被發現。