网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑，通过虚假商务会议来瞄准 Web3 工作人员。

该情况根据会议软件常用的名称被称为“Meeten”，自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本，目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据（在 Mac 上）。

Meeten 是由 Cado 安全实验室发现的，该实验室称，威胁者不断更改假冒会议软件的名称和品牌，之前曾使用过“Clusee”、“Cuesee”、“Meetio”等名称。

网站传播 Realst 盗窃者

这些假冒品牌在 其中填充了人工智能生成的内容，以增加合法性，看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站，并被提示下载所谓的会议应用程序，但实际上，它是 Realst 窃取程序。

根据报告，该骗局以多种方式进行。在一个报告的实例中，用户认识的人在 Telegram 上联系了该用户，希望讨论商业机会并安排通话。然而，Telegram 帐户已创建更有趣的是，诈骗者向他发送了目标公司的投资演示，表明这是一个复杂的、有针对性的骗局。

其他报告称，目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时，目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外，Meeten 网站还包含 Javascript，甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的加密货币。

Cado 表示，除了 Realst 恶意软件之外，“Meeten”网站还托管 JavaScript，试图耗尽连接到该网站的钱包。

针对 Mac 和 Windows

选择下载 macOS 版本会议软件的用户会获得一个名 为“CallCSSetup.pkg”的软件包，但过去也曾使用过其他文件名。 执行时，它使用 macOS 命令行工具“osascript”要求用户输入系统密码，从而导致权限升级。

向用户提供密码提示

输入密码后，恶意软件将显示一条诱饵消息，指出“无法连接到服务器。请重新安装或使用 VPN。”然而，在后台，Realst 恶意软件会窃取计算机上托管的数据，包括：

· 电报凭证

· 银行卡详细信息

· 钥匙串凭证

· 来自 Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc 和 Vivaldi 的浏览器 cookie 和自动填充凭据

· Ledger 和 Trezor 钱包

数据首先存储在本地文件夹中，经过压缩，最终连同机器详细信息（例如版本名称、版本和系统信息）一起泄露到远程地址。

Realst 的 Windows 变体以 Nullsoft 脚本安装程序系统 (NSIS) 文件形式分发，名为“MeetenApp.exe”，并且还使用从 Brys Software 窃取的证书进行数字签名。

有效负载的数字签名

安装程序包含一个 7zip 存档（“app-64”）和一个 Electron 应用程序的核心（“app.asar”），其中包含 JavaScript 和资源，使用 Bytenode 编译为 V8 字节码以逃避检测。

Electron 应用程序连接到位于“deliverynetwork[.]observer”的远程服务器，并下载受密码保护的存档（“AdditionalFilesForMeet.zip”），其中包含系统分析器（“MicrosoftRuntimeComponentsX86.exe”）和主要恶意软件负载（“UpdateMC.exe”） ”）。

恶意软件收集的系统信息

基于 Rust 的可执行文件尝试收集以下信息，将其添加到 ZIP 文件中，然后将其泄露：

· 电报凭证