以虚假视频会议为诱饵，攻击者瞄准了Web3公司员工

据The 虚假Hacker News消息 ，网络安全研究人员近日发现一种新的视频司诈骗活动 ，利用虚假的为诱商务视频会议应用程序来针对 Web3 技术公司的工作人员
，并传播一种名为Realst 的饵攻信息窃取程序
。

为了增强迷惑性和合法性
，瞄准攻击者利用AI设立了虚假公司 。公工Cado Security 的虚假研究员表示，该公司主动联系目标建立视频通话 ，视频司提示用户从网站上下载会议应用程序 ，为诱也就是源码库饵攻Realst信息窃取程序  。

这一恶意活动被安全公司命名为 Meeten，瞄准因为攻击者使用的公工虚假网站名称分别为 Clusee 、Cuesee、虚假Meeten、视频司Meetone 和 Meetio 等 。为诱

在实施过程中  ，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标 ，诱导对方加入一个可疑平台上托管的视频通话 。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端 ，源码下载在macOS 上安装并启动后，会提示"当前版本的应用程序与 macOS 版本不完全兼容"，要求受害者输入系统密码才能正常使用该应用程序
。

含有恶意软件的视频会议软件客户端下载页面

该技术已被 Atomic macOS Stealer 、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用 。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的建站模板数据 ，并将其导出到远程服务器。

该恶意软件还可以窃取 Telegram 凭证 、银行信息、iCloud Keychain 数据以及 Google Chrome 、Microsoft Edge 、Opera 、Brave、Arc 、Cốc Cốc 和 Vivaldi 浏览器的 cookies 。

而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的模板下载合法签名 。 安装程序中嵌入了一个 Electron 应用程序 ，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件） 。

这已经不是第一次有人利用假冒会议软件传播恶意软件了 。 今年 3 月初，Jamf 威胁实验室披露 ，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的免费模板活动 ，该活动针对加密货币用户使用假冒的虚拟会议软件 ，通过 Rhadamanthys
、Steelc 和 Atomic 等盗号软件来窃取用户的资产。

此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容 ，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。服务器租用