متخصصان Web3، توسط بدافزار رباینده اطلاعات Realst مورد هدف قرار گرفتند!

محققان امنیت سایبری اخیراً یک کلاهبرداری پیشرفته و حرفه‌ای را کشف کرده‌اند که از طریق برنامه‌های ویدئو کنفرانس جعلی، قربانیان خود را که متخصصان Web3 می‌باشند، مورد هدف قرار می‌دهد. این کمپین که توسط CADO Security با نام Meeten شناخته می‌شود با استفاده از پلتفرم‌های جعلی مانند Clusee ، Cuesee ، Meetone و Meetio برای ارائه بدافزاری به نام Realst طراحی شده است. این بدافزار قادر به ربودن اطلاعات حساس می‌باشد.

تهدید کننده‌هایی که در پشت این حملات قرار دارند، شرکت‌های جعلی، وب سایت‌های به ظاهر رسمی و اکانت‌های شبکه‌های اجتماعی همراه با محتواهای تولید شده توسط هوش مصنوعی ایجاد کرده‌اند تا اطمینان قربانیان را برای شرکت در این ویدئو کنفرانس جلب نمایند.

این حملات مستلزم نزدیک شدن به اهداف آینده نگر در تلگرام برای بحث در مورد فرصت‌های بالقوه سرمایه گذاری است و از آنها خواسته می‌شود تا به یک تماس ویدیویی بپیوندند. قربانی مورد نظر با دانلود اپلیکیشن ویدئو کنفرانس آلوده به بدافزار رباینده اطلاعات realst، وارد زنجیره نفوذ می‌شود.  

کاربران MACOS پس از نصب و راه اندازی اپلیکیشن با پیامی مواجه می‌شوند که ادعا می‌کند نسخه فعلی برنامه با نسخه MacOS آنها سازگار نیست و می‌بایست رمز عبور سیستم خود را وارد کنند تا برنامه اجرا شود!

این کار با استفاده از تکنیک OsaScript انجام می‌شود که توسط چندین خانواده رباینده MacOS دیگر مانند رباینده Atomic macOS ، Cuckoo ، Macstealer ، Banshee Stealer و Cthulhu Stealer اتخاذ شده است. بدافزار در واقع ازosascript به منظور نمایش یک نوتیفیکیشن جعلیِ درخواست رمز عبور استفاده می‌کند تا کاربر، رمز عبور خود را وارد نماید و در نهایت سطح دسترسی بدافزار افزایش یابد.

نسخه ویندوزی بدافزار Realst نیز در قالب یک فایل Nullsoft Scriptable Installer System (NSIS) با نام “MeetenApp.exe” توزیع می‌شود که به صورت دیجیتال با استفاده از گواهی ربوده شده از نرم افزار Brys امضاء شده است.

هدف نهایی این حمله، سرقت انواع مختلف داده‌های حساس همچون داده‌های لاگین تلگرام، اطلاعات بانکی ، داده های icloud keychain و کوکی های مرورگرهایGoogle Chrome ، Microsoft Edge ، Opera ، Brave ، Arc ، CốC CốC و VivalDi می‌باشد.

Realst در اصل به دنبال ربودن داده‌های لاگین کیف پول‌های ارز دیجیتال و ارسال آنها به یک سرور راه دور تحت کنترل مهاجم است.

نسخه ویندوزی بدافزار Realst در مقایسه با نسخه macOS آن دارای مکانیزم تحویل پیلود پیچیده‌تر و دور زدن نرم افزارهای امنیتی است و می‌تواند رجیستری ویندوز را به منظور ایجاد تداوم دسترسی در برابر راه اندازی مجدد تغییر دهد.

به طورکلی، کاربران هرگز نباید نرم افزاری را از طریق رسانه‌های اجتماعی دریافت و نصب کنند. به منظور محافظت در برابر انواع بدافزار توصیه می‌شود:

• اصالت وب سایت را مورد بررسی قرار دهید. این مورد را می‌‌توان با نگاه به URL انجام داد تا مطمئن شوید که وب سایتی که در آن حضور دارید، نسخه جعلی وب سایت اصلی نیست.
• برنامه‌های مورد نیاز را فقط از منابع رسمی دانلود کنید.
• از برنامه‌های تشخیص بدافزار مانند آنتی ویروس به روزرسانی شده در سیستم خود استفاده کنید.

کسانی که در Web3 فعالیت می‌کنند آسیب پذیرتر هستند، چرا که مهندسی اجتماعی تاکتیک رایجی است و برای ایجاد ارتباط با اهداف مورد نظر در این فضا و سپس فریب کاربران برای نصب بدافزار به منظور سرقت ارز دیجیتال استفاده می‌شود.

منابع