{"id":352,"date":"2024-12-18T06:32:00","date_gmt":"2024-12-18T06:32:00","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=352"},"modified":"2024-12-07T18:34:40","modified_gmt":"2024-12-07T18:34:40","slug":"hackers-usam-aplicativos-falsos-de-videoconferencia-para-roubar-dados-de-profissionais-da-web3","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2024\/12\/18\/hackers-usam-aplicativos-falsos-de-videoconferencia-para-roubar-dados-de-profissionais-da-web3\/","title":{"rendered":"Hackers usam aplicativos falsos de videoconfer\u00eancia para roubar dados de profissionais da Web3"},"content":{"rendered":"\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica alertaram sobre uma nova campanha fraudulenta que utiliza aplicativos falsos de videoconfer\u00eancia para entregar um ladr\u00e3o de informa\u00e7\u00f5es chamado Realst,<\/a> visando pessoas que trabalham na Web3 sob o pretexto de falsas reuni\u00f5es de neg\u00f3cios.<\/p>\n\n\n\n

“Os agentes de amea\u00e7as por tr\u00e1s do malware criaram empresas falsas usando IA para faz\u00ea-las aumentar a legitimidade”, disse<\/a> a pesquisadora da Cado Security, Tara Gould . “A empresa alcan\u00e7a os alvos para configurar uma videochamada, solicitando que o usu\u00e1rio baixe o aplicativo de reuni\u00e3o do site, que \u00e9 o Realst infostealer.”<\/p>\n\n\n\n

A atividade recebeu o codinome Meeten pela empresa de seguran\u00e7a, devido ao uso de nomes como Clusee, Cuesee, Meeten, Meetone e Meetio para os sites falsos.<\/p>\n\n\n\n

Os ataques envolvem abordar alvos em potencial no Telegram para discutir uma oportunidade de investimento em potencial, incitando-os a participar de uma videochamada hospedada em uma das plataformas duvidosas. Os usu\u00e1rios que acabam no site s\u00e3o solicitados a baixar uma vers\u00e3o para Windows ou macOS, dependendo do sistema operacional usado.<\/p>\n\n\n\n

Depois de instalado e iniciado no macOS, os usu\u00e1rios s\u00e3o recebidos com uma mensagem que diz “A vers\u00e3o atual do aplicativo n\u00e3o \u00e9 totalmente compat\u00edvel com sua vers\u00e3o do macOS” e que eles precisam inserir a senha do sistema para que o aplicativo funcione conforme o esperado.<\/p>\n\n\n\n

Isso \u00e9 realizado por meio de uma t\u00e9cnica osascript que foi adotada<\/a> por v\u00e1rias fam\u00edlias de macOS stealer, como Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer e Cthulhu Stealer. O objetivo final do ataque \u00e9 roubar v\u00e1rios tipos de dados sens\u00edveis, incluindo de carteiras de criptomoedas, e export\u00e1-los para um servidor remoto.<\/p>\n\n\n\n

O malware tamb\u00e9m est\u00e1 equipado para roubar credenciais do Telegram, informa\u00e7\u00f5es banc\u00e1rias, dados do iCloud Keychain e cookies do navegador Google Chrome, Microsoft Edge, Opera, Brave, Arc, C\u1ed1c C\u1ed1c e Vivaldi.<\/p>\n\n\n\n

\"Aplicativos<\/a><\/figure>\n\n\n\n

A vers\u00e3o para Windows do arquivo do aplicativo Nullsoft Scriptable Installer System (NSIS) que \u00e9 assinado com uma assinatura leg\u00edtima provavelmente roubada da Brys Software Ltd. Incorporado ao instalador est\u00e1 um aplicativo Electron configurado para recuperar o execut\u00e1vel do ladr\u00e3o, um bin\u00e1rio baseado em Rust, de um dom\u00ednio controlado pelo invasor.<\/p>\n\n\n\n

“Os agentes de amea\u00e7as est\u00e3o usando cada vez mais IA para gerar conte\u00fado para suas campanhas”, disse Gould. “Usar IA permite que agentes de amea\u00e7as criem rapidamente conte\u00fado realista para sites que adiciona legitimidade aos seus golpes e torna mais dif\u00edcil detectar sites suspeitos.”<\/p>\n\n\n\n

Esta n\u00e3o \u00e9 a primeira vez que marcas falsas de software de reuni\u00e3o foram alavancadas para entregar malware. No in\u00edcio de mar\u00e7o, o Jamf Threat Labs revelou<\/a> que detectou um site falsificado chamado meethub[.]gg para propagar um malware ladr\u00e3o que compartilha sobreposi\u00e7\u00f5es com o Realst.<\/p>\n\n\n\n

Ent\u00e3o, em junho, a Recorded Future detalhou<\/a> uma campanha chamada markopolo que tinha como alvo usu\u00e1rios de criptomoedas com software falso de reuni\u00e3o virtual para esvaziar suas carteiras usando ladr\u00f5es como Rhadamanthys, Stealc e Atomic.<\/p>\n\n\n\n

O desenvolvimento ocorre quando os agentes de amea\u00e7as por tr\u00e1s do malware Banshee Stealer<\/a> macOS encerraram suas opera\u00e7\u00f5es<\/a> ap\u00f3s o vazamento de seu c\u00f3digo-fonte<\/a> . N\u00e3o est\u00e1 claro o que motivou o vazamento. O malware foi anunciado em f\u00f3runs de crimes cibern\u00e9ticos por uma assinatura mensal de US$ 3.000.<\/p>\n\n\n\n

Ele tamb\u00e9m acompanha o surgimento de novas fam\u00edlias de malware stealer, como Fickle Stealer<\/a> , Wish Stealer<\/a> , Hexon Stealer<\/a> e Celestial Stealer<\/a> , enquanto usu\u00e1rios e empresas que buscam software pirateado e ferramentas de IA est\u00e3o sendo alvos do RedLine Stealer e do Poseidon Stealer<\/a> , respectivamente.<\/p>\n\n\n\n

“Os invasores por tr\u00e1s desta campanha est\u00e3o claramente interessados \u200b\u200bem obter acesso a organiza\u00e7\u00f5es de empreendedores de l\u00edngua russa que usam software para automatizar processos de neg\u00f3cios”, disse<\/a> Kaspersky sobre a campanha RedLine Stealer.<\/p>\n","protected":false},"excerpt":{"rendered":"

Pesquisadores de seguran\u00e7a cibern\u00e9tica alertaram sobre uma nova campanha fraudulenta que utiliza aplicativos falsos de videoconfer\u00eancia para entregar um ladr\u00e3o de informa\u00e7\u00f5es chamado Realst, visando pessoas que trabalham na Web3 sob o pretexto de falsas reuni\u00f5es de neg\u00f3cios. “Os agentes de amea\u00e7as por tr\u00e1s do malware criaram empresas falsas usando IA para faz\u00ea-las aumentar a legitimidade”, disse a pesquisadora […]<\/p>\n","protected":false},"author":1,"featured_media":353,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7],"tags":[],"class_list":["post-352","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=352"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/352\/revisions"}],"predecessor-version":[{"id":354,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/352\/revisions\/354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/353"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}