Cado Security Labs vừa phát hiện một chiến dịch tấn công mạng tinh vi nhắm vào các chuyên gia trong lĩnh vực Web3. Trung tâm của chiến dịch này là Meeten malware, một phần mềm độc hại đa nền tảng có khả năng đánh cắp thông tin trên cả macOS và Windows. Đáng chú ý, các kẻ tấn công sử dụng nội dung được tạo bởi trí tuệ nhân tạo (AI) để tăng tính khả thi cho các hành động của mình.
Nhóm tấn công đứng sau Meeten malware tạo ra các công ty giả mạo với những tên gọi như Clusee, Cuesee, và Meetio. Những công ty này được xây dựng các trang web “chuyên nghiệp” với nội dung blog do AI tạo ra, đồng thời duy trì tài khoản hoạt động tích cực trên mạng xã hội để tạo uy tín.
Theo báo cáo từ Cado Security Labs, “Các công ty này liên hệ với mục tiêu, mời họ tham gia cuộc họp video và yêu cầu tải xuống ứng dụng họp từ trang web – thực chất là phần mềm đánh cắp thông tin Realst.”
Nạn nhân thường bị tiếp cận qua Telegram, thậm chí đôi khi qua các tài khoản giả mạo người quen của họ. Trong một trường hợp, nạn nhân nhận được một lời mời gọi đầu tư từ chính công ty của mình. Sau khi liên lạc được thiết lập, nạn nhân được hướng dẫn tải xuống ứng dụng Meeten – bước khởi đầu cho việc triển khai phần mềm độc hại.
Meeten giả danh là một trình cài đặt hợp pháp, được viết bằng Rust. Phần mềm độc hại này sử dụng lệnh osascript để yêu cầu mật khẩu hệ thống từ người dùng – một chiến thuật phổ biến trong các cuộc tấn công trên macOS. Khi được kích hoạt, Meeten đánh cắp các thông tin nhạy cảm bao gồm:
- Thông tin đăng nhập Telegram
- Mật khẩu Keychain
- Thông tin thẻ ngân hàng
- Cookies và dữ liệu tự động điền từ các trình duyệt như Chrome, Edge
- Thông tin từ ví tiền mã hóa như Ledger và Trezor
Dữ liệu bị đánh cắp được nén thành tệp ZIP và gửi tới máy chủ điều khiển của kẻ tấn công.
Phiên bản Windows của Meeten, được nhận diện là MeetenApp.exe, sử dụng trình cài đặt Nullsoft Scriptable Installer System (NSIS) và sử dụng chữ ký điện tử bị đánh cắp từ “Brys Software.” Nó được triển khai dưới dạng ứng dụng Electron, sử dụng mã JavaScript biên dịch thành V8 bytecode để tránh bị phát hiện. Các chức năng chính bao gồm:
- Đánh cắp thông tin đăng nhập trình duyệt và ví tiền mã hóa
- Duy trì trên hệ thống thông qua các khóa Windows Registry
- Thu thập thông số hệ thống như ID phần cứng, vị trí địa lý
- Tải thêm các payload độc hại để tăng cường khả năng đánh cắp dữ liệu
Ngoài việc phát triển phần mềm độc hại, nhóm tấn công còn sử dụng AI để tạo nội dung trang web chân thực, thu hút nạn nhân. Báo cáo nhấn mạnh: “Việc sử dụng AI cho phép các kẻ tấn công nhanh chóng tạo ra nội dung trang web thực tế, làm tăng độ tin cậy và khiến việc phát hiện các trang web đáng ngờ trở nên khó khăn hơn.”
Để bảo vệ bản thân người dùng cần:
- Xác minh tính xác thực của các liên hệ, đặc biệt trên các nền tảng như Telegram.
- Tránh tải phần mềm từ các trang web không rõ nguồn gốc hoặc không được xác minh.
- Thường xuyên kiểm tra tài khoản ngân hàng và ví tiền mã hóa để phát hiện hoạt động trái phép.
Nguồn: Security Online