Кампания Meeten: социальная инженерия и кража криптовалют

Кампания Meeten: социальная инженерия и кража криптовалют

Новая волна угроз социальной инженерии нацелена на криптовалютных пользователей

В декабре 2024 года было выявлено начало масштабной кампании социальной инженерии, направленной на пользователей криптовалют. Эта кампания активно использует поддельные стартапы в сферах искусственного интеллекта, гейминга и Web3, создавая видимость легитимности за счет профессионально оформленных веб-сайтов и реальных платформ для размещения технической документации, таких как Notion и GitHub.

Кампания Meeten: как работает схема

Кампания под названием Meeten раскрывает используемые злоумышленниками методы обмана. Хакеры создают фиктивные компании-разработчики программного обеспечения для проведения онлайн-совещаний, предлагая пользователям загрузить якобы новое и инновационное приложение. На самом деле под видом законного ПО распространяется вредоносная программа Realst, предназначенная для кражи информации.

Основные механизмы атаки включают:

  • Использование скомпрометированных и проверенных аккаунтов в социальной сети X (ранее Twitter), создающих иллюзию доверия благодаря значительному числу подписчиков;
  • Обращение к жертвам через сообщения в X messages, Telegram и Discord от имени мнимых сотрудников, предлагающих протестировать ПО за вознаграждение в криптовалюте;
  • Предоставление ссылки на сайт компании с запросом регистрационного кода, после чего жертва загружает вредоносные двоичные файлы для платформ Windows или macOS.

Технологии и методы вредоносного ПО

Вредоносное ПО, используемое в кампании, построено на базе приложения Windows Electron. После установки оно:

  • проводит профилирование системы, собирая информацию об имени пользователя и технических характеристиках;
  • устанавливает связь с управляющей командной инфраструктурой (C2), загружая дополнительные компоненты при успешной проверке;
  • использует скрипты на Python для реализации команд с серверов C2.

Для macOS распространяется файл формата DMG, включающий запутанный bash-скрипт с использованием AppleScript для обеспечения устойчивости вредоносного ПО. Методы напоминают техники известных программ-вредителей, таких как Atomic Stealer, с целью сбора конфиденциальных данных пользователя.

Связь с группировкой CrazyEvil

Отдельно стоит отметить группу CrazyEvil, киберпреступную организацию, вовлечённую в аналогичные операции по социальной инженерии, ориентированные на криптовалютных инвесторов и влиятельных лиц. Их методы близки по тактике к кампании Meeten и включают:

  • перенаправление пользователей на вредоносные программы через скомпрометированные или поддельные веб-сайты;
  • получение значительного дохода от мошеннических схем социальной инженерии.

Эти факты подтверждают, что хакеры всё активнее учатся имитировать легитимные бизнес-операции, что значительно усложняет задачу защиты для рядовых пользователей.

Угрозы в облачных средах

Ландшафт современных угроз выходит за пределы конечных устройств и охватывает облачные инфраструктуры. Аналитики Darktrace зафиксировали случаи несанкционированного доступа к облачным платформам AWS и Azure посредством украденных учётных данных.

Злоумышленники проводили:

  • подготовительную разведку;
  • создавали мошеннические виртуальные машины;
  • совершали утечки данных и готовились к развертыванию программ-вымогателей.

Такие инциденты указывают на уязвимости в стратегиях защиты, где традиционные меры ручного обнаружения не позволяют своевременно выявить и пресечь вредоносную активность.

Заключение

Современные кампании социальной инженерии демонстрируют высокий уровень изощрённости, внедряясь в экосистему криптовалют через создание тщательно продуманных мошеннических структуру. Успех подобных атак во многом зависит от умения пользователей критически оценивать источники программного обеспечения и сообщений в социальных сетях.

Для защиты рекомендуется:

  • тщательно проверять легитимность компаний и их представительства в соцсетях;
  • никогда не скачивать и не запускать программы с непроверенных источников;
  • использовать многофакторную аутентификацию для доступа к облачным сервисам;
  • повышать уровень осведомлённости о новых киберугрозах и регулярно обновлять защитные средства.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: