Кампания Meeten: социальная инженерия и кража криптовалют

Новая волна угроз социальной инженерии нацелена на криптовалютных пользователей
В декабре 2024 года было выявлено начало масштабной кампании социальной инженерии, направленной на пользователей криптовалют. Эта кампания активно использует поддельные стартапы в сферах искусственного интеллекта, гейминга и Web3, создавая видимость легитимности за счет профессионально оформленных веб-сайтов и реальных платформ для размещения технической документации, таких как Notion и GitHub.
Кампания Meeten: как работает схема
Кампания под названием Meeten раскрывает используемые злоумышленниками методы обмана. Хакеры создают фиктивные компании-разработчики программного обеспечения для проведения онлайн-совещаний, предлагая пользователям загрузить якобы новое и инновационное приложение. На самом деле под видом законного ПО распространяется вредоносная программа Realst, предназначенная для кражи информации.
Основные механизмы атаки включают:
- Использование скомпрометированных и проверенных аккаунтов в социальной сети X (ранее Twitter), создающих иллюзию доверия благодаря значительному числу подписчиков;
- Обращение к жертвам через сообщения в X messages, Telegram и Discord от имени мнимых сотрудников, предлагающих протестировать ПО за вознаграждение в криптовалюте;
- Предоставление ссылки на сайт компании с запросом регистрационного кода, после чего жертва загружает вредоносные двоичные файлы для платформ Windows или macOS.
Технологии и методы вредоносного ПО
Вредоносное ПО, используемое в кампании, построено на базе приложения Windows Electron. После установки оно:
- проводит профилирование системы, собирая информацию об имени пользователя и технических характеристиках;
- устанавливает связь с управляющей командной инфраструктурой (C2), загружая дополнительные компоненты при успешной проверке;
- использует скрипты на Python для реализации команд с серверов C2.
Для macOS распространяется файл формата DMG, включающий запутанный bash-скрипт с использованием AppleScript для обеспечения устойчивости вредоносного ПО. Методы напоминают техники известных программ-вредителей, таких как Atomic Stealer, с целью сбора конфиденциальных данных пользователя.
Связь с группировкой CrazyEvil
Отдельно стоит отметить группу CrazyEvil, киберпреступную организацию, вовлечённую в аналогичные операции по социальной инженерии, ориентированные на криптовалютных инвесторов и влиятельных лиц. Их методы близки по тактике к кампании Meeten и включают:
- перенаправление пользователей на вредоносные программы через скомпрометированные или поддельные веб-сайты;
- получение значительного дохода от мошеннических схем социальной инженерии.
Эти факты подтверждают, что хакеры всё активнее учатся имитировать легитимные бизнес-операции, что значительно усложняет задачу защиты для рядовых пользователей.
Угрозы в облачных средах
Ландшафт современных угроз выходит за пределы конечных устройств и охватывает облачные инфраструктуры. Аналитики Darktrace зафиксировали случаи несанкционированного доступа к облачным платформам AWS и Azure посредством украденных учётных данных.
Злоумышленники проводили:
- подготовительную разведку;
- создавали мошеннические виртуальные машины;
- совершали утечки данных и готовились к развертыванию программ-вымогателей.
Такие инциденты указывают на уязвимости в стратегиях защиты, где традиционные меры ручного обнаружения не позволяют своевременно выявить и пресечь вредоносную активность.
Заключение
Современные кампании социальной инженерии демонстрируют высокий уровень изощрённости, внедряясь в экосистему криптовалют через создание тщательно продуманных мошеннических структуру. Успех подобных атак во многом зависит от умения пользователей критически оценивать источники программного обеспечения и сообщений в социальных сетях.
Для защиты рекомендуется:
- тщательно проверять легитимность компаний и их представительства в соцсетях;
- никогда не скачивать и не запускать программы с непроверенных источников;
- использовать многофакторную аутентификацию для доступа к облачным сервисам;
- повышать уровень осведомлённости о новых киберугрозах и регулярно обновлять защитные средства.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



