Un nuovo stratagemma informatico sta mettendo a rischio chi lavora online, sfruttando finte applicazioni per videoconferenze per diffondere un malware chiamato Realst. La minaccia, mascherata da innocue riunioni di lavoro, è stata individuata dai ricercatori di Cado Security, che ne hanno svelato i dettagli.
Secondo quanto riportato, i cybercriminali dietro questa operazione hanno costruito falsi profili avvalendosi dell’intelligenza artificiale per conferir loro un aspetto più credibile. Attraverso questi finti profili, contattano le vittime per organizzare presunte videoconferenze, chiedendo di scaricare un’applicazione per accedere alla chiamata. In realtà, il software scaricato è l’infostealer Realst, progettato per sottrarre informazioni sensibili. Talvolta utilizzano profili reali caduti nella truffa, di cui hanno rubato i dati di accesso, in modo da sembrare ancora più credibili.
Strategie e nomi ingannevoli
Gli esperti hanno denominato questa operazione “Meeten”, un riferimento ai nomi utilizzati dai siti fraudolenti come Clusee, Cuesee, Meeten, Meetone e Meetio. Il primo contatto avviene spesso tramite Telegram o X (ex Twitter), con i truffatori che propongono ipotetiche opportunità di investimento o di colaborazione. Gli utenti vengono poi indirizzati a scaricare una versione dell’app compatibile con il loro sistema operativo, sia Windows che macOS.
Come funziona l’attacco
Una volta installata su macOS, l’applicazione inganna gli utenti con un messaggio di errore che sostiene una presunta incompatibilità tra l’app e il sistema operativo, richiedendo la password dell’utente per risolvere il problema. Questo meccanismo sfrutta una tecnica chiamata osascript, utilizzata anche da altre famiglie di malware come Atomic macOS Stealer, Cuckoo, MacStealer e Banshee Stealer. L’obiettivo è appropriarsi di dati sensibili, inclusi quelli relativi ai portafogli di criptovalute, e inviarli a server remoti.
Il malware non si limita ai dati dei wallet: ruba anche credenziali di social network, informazioni bancarie, dati dell’iCloud Keychain e cookie dei browser più utilizzati, tra cui Chrome, Edge, Opera e Brave.
Versione Windows e Intelligenza Artificiale
La versione Windows del software utilizza un installer NSIS (Nullsoft Scriptable Installer System), firmato con una certificazione apparentemente rubata. Questo installer contiene un’app Electron che scarica un eseguibile basato su Rust da un dominio controllato dagli hacker.
Gli esperti sottolineano come l’uso dell’intelligenza artificiale abbia permesso ai criminali di creare contenuti web estremamente realistici, aumentando la difficoltà per le vittime di riconoscere i siti truffaldini. “Grazie all’IA, è più semplice generare rapidamente contenuti convincenti, dando credibilità alle campagne di phishing”, ha affermato Tara Gould di Cado Security.
Fenomeno in crescita
Non è la prima volta che falsi software di videoconferenze vengono usati come vettori di attacco. A marzo, Jamf Threat Labs ha scoperto il sito meethub[.]gg, utilizzato per distribuire malware simili. A giugno, Recorded Future ha documentato un’altra campagna, denominata Markopolo, che ha preso di mira utenti di criptovalute con software fraudolenti per sottrarre fondi digitali.
L’attività criminale legata a Realst si inserisce in un contesto più ampio di proliferazione di malware per il furto di dati. Recentemente, alcune famiglie di infostealer, come Banshee Stealer, hanno cessato le operazioni dopo la fuga del codice sorgente, mentre altre nuove minacce, tra cui Fickle Stealer e Celestial Stealer, continuano a emergere.
Nel frattempo, campagne come RedLine Stealer e Poseidon Stealer puntano rispettivamente a chi cerca software piratati e strumenti di intelligenza artificiale, sottolineando come la ricerca di soluzioni non ufficiali possa esporre gli utenti a gravi rischi.
Le truffe basate su software di videoconferenze falsi sono un chiaro esempio di come i cybercriminali stiano sfruttando le nuove tecnologie per perpetrare attacchi sempre più sofisticati. Gli utenti sono invitati a prestare estrema attenzione durante l’interazione con aziende sconosciute, soprattutto se queste richiedono l’installazione di software da fonti non ufficiali.
Fonte: TheHackerNews
Scrivi un commento