Une fausse application de visioconférence vole des mots de passe et propage des logiciels malveillants : comment rester en sécurité
Cado Security Labs a identifié un voleur d'informations Realst qui utilise une fausse application de réunion pour voler des portefeuilles cryptographiques et injecter des logiciels malveillants. Les escrocs incitent les travailleurs du Web3 à télécharger une application appelée Meeten, Meetio, Meeten.gg, Meeten.us, Meetone.gg, Cluesee.com et Cuesee – elle change fréquemment de nom.
Les acteurs malveillants utilisent l'IA pour générer et remplir des blogs, des sites Web et des comptes de réseaux sociaux sur X et Medium afin d'apparaître comme des entreprises légitimes avant de contacter leurs cibles et de les inviter à télécharger l'application.
Une fois téléchargé, le malware recherchera des informations sensibles, notamment les détails de la carte bancaire, les connexions Telegram et les informations sur les portefeuilles cryptographiques, en particulier les portefeuilles Ledger, Trezor, Phantom et Binance, qu'il renvoie aux attaquants. Il peut également rechercher les cookies du navigateur et remplir automatiquement les informations d'identification de Google Chrome, Microsoft Edge et Opera, Brave, Arc, CocCoc et Vivaldi.
Un utilisateur a été contacté par une personne se faisant passer pour une connaissance, qui a ensuite envoyé à la cible une présentation d'investissement de la société cible ; d'autres ont déclaré avoir reçu des appels liés aux travaux Web3 et avoir reçu pour instruction de télécharger le logiciel.
De plus en plus, l’IA est utilisée pour générer du contenu pour les campagnes de malware. Selon Tara Gould, responsable de la recherche sur les menaces chez Cado Security Labs, « l'utilisation de l'IA permet aux auteurs de menaces de créer rapidement un contenu de site Web réaliste qui ajoute de la légitimité à leurs escroqueries et rend plus difficile la détection des sites Web suspects. »
Ces faux sites Web, qui incitent les victimes à télécharger des logiciels malveillants au lieu de logiciels légitimes, contiennent également du code JavaScript capable de voler les portefeuilles cryptographiques stockés dans les navigateurs Web, et ce, avant d'installer des logiciels malveillants. Selon Paul Scott, ingénieur solutions chez Cado Security, « Si un utilisateur voit son portefeuille déverrouillé dans son navigateur et visite un site Web malveillant, le JavaScript du site vérifie automatiquement s'il y a des portefeuilles déverrouillés et tentera de transférer des pièces cryptées vers un site Web malveillant. portefeuille contrôlé par l’attaquant.
Cette campagne est active depuis au moins quatre mois, comporte des variantes macOS et Windows et semble être une variante du voleur d'informations Realst découvert pour la première fois en 2023 par le chercheur en sécurité iamdeadlyz.
Comment rester en sécurité
Les chercheurs conseillent aux utilisateurs d'être prudents lorsqu'ils sont contactés pour des opportunités commerciales, notamment via Telegram. Même si le contact semble être un contact existant et connu, il est essentiel de vérifier le compte. Soyez toujours diligent lorsque vous ouvrez des liens.
N'ouvrez jamais rien de quelqu'un que vous ne connaissez pas ou que vous n'attendez pas. Si vous recevez un lien, contactez l'expéditeur et demandez-lui s'il l'a envoyé et pourquoi. S'ils ont envoyé quelque chose dans Telegram et vous contactent habituellement dans Slack, contactez-les sur la plateforme sur laquelle vous discutez généralement affaires.
Assurez-vous que vous utilisez l'un des meilleurs logiciels antivirus et qu'il est à jour. Utilisez également un navigateur sécurisé s’il en existe un.