حمله جدید به کارکنان وب۳ از طریق اپلیکیشن‌های جعلی

کارشناسان Cado Security Labs هشدار داده‌اند که کارکنان مرتبط با وب3 هدف یک کمپین کلاهبرداری قرار گرفته‌اند. در این کمپین، از اپلیکیشن‌های تقلبی جلسات برای تزریق بدافزار و سرقت اطلاعات اعتباری وب‌سایت‌ها، اپلیکیشن‌ها و کیف پول‌های رمزارز استفاده می‌شود.

کلاهبرداران از تکنولوژی هوش مصنوعی برای تولید و تکمیل وب‌سایت‌ها و حساب‌های شبکه‌های اجتماعی به عنوان شرکت‌های معتبر استفاده می‌کنند. سپس با تماس با هدف‌های احتمالی، آنها را به دانلود یک اپلیکیشن جلسه ترغیب می‌کنند. به گفته تارا گولد، مدیر تحقیقات تهدید در کادو، این موضوع در گزارش ۶ دسامبر مورد بررسی قرار گرفته است.

این اپلیکیشن تحت نام Meeten شناخته می‌شود اما هم‌اکنون با نام Meetio در دسترس است و مرتباً نام خود را تغییر می‌دهد. در گذشته، از نام‌های Clusee.com، Cuesee، Meeten.gg، Meeten.us و Meetone.gg استفاده کرده است.

این برنامه شامل یک بدافزار به نام Realst است که پس از دانلود، اطلاعات حساس مانند لاگین تلگرام، اطلاعات کارت‌های بانکی و اطلاعات کیف پول‌های رمزارز را بررسی و به کلاهبرداران ارسال می‌کند.

این بدافزار همچنین می‌تواند کوکی‌های مرورگرها و اطلاعات تکمیل خودکار از اپلیکیشن‌هایی مثل Google Chrome و Microsoft Edge و نیز اطلاعات کیف پول‌های Ledger، Trezor و Binance را جستجو کند.

این شیوه کلاهبرداری شامل مهندسی اجتماعی و جعل هویت نیز می‌شود. به عنوان مثال، یک کاربر گزارش داده که از طریق تلگرام توسط فردی که او را می‌شناخت برای یک فرصت تجاری تماس گرفته شده که بعدها مشخص شد کلاهبرداری است.

تارا گولد افزوده که این کلاهبردار ارائه‌ای از سرمایه‌گذاری‌های شرکت هدف به او فرستاده است که نشان از پیچیدگی و هدف‌مند بودن این کلاهبرداری دارد.

بعضی کاربران دیگر نیز گزارش داده‌اند که در تماس‌های مرتبط با کارهای وب3 شرکت داشته و پس از دانلود نرم‌افزار، رمزارزهایشان به سرقت رفته است.

برای افزایش اعتبار، کلاهبرداران به تأسیس وب‌سایت‌های شرکتی با بلاگ‌ها و محتوای تولیدشده توسط هوش مصنوعی و حساب‌های شبکه‌های اجتماعی مانند X و Medium پرداخته‌اند.

گولد بیان کرده که در حالی که تمرکز زیادی بر قدرت هوش مصنوعی در تولید بدافزار بوده است، بازیگران تهدید با استفاده از این تکنولوژی برای تولید محتوا جهت کلاهبرداری‌های خود استفاده می‌کنند.

وب‌سایت‌های جعلی که کاربران را به دانلود نرم‌افزار آلوده دعوت می‌کنند حاوی جاوا اسکریپت برای سرقت رمزارز ذخیره‌شده در مرورگرهای وب هستند، حتی پیش از نصب هرگونه بدافزار.

این کلاهبرداران نسخه‌هایی برای macOS و Windows از این بدافزار ایجاد کرده‌اند. گولد اظهار داشته که این کمپین حدود چهار ماه است که فعال است.

سایر کلاهبرداران نیز به طور فعالی از این تاکتیک‌ها استفاده کرده‌اند. در ماه آگوست، زک ایکس‌بی‌تی محقق زنجیره‌ای اعلام کرد ۲۱ توسعه‌دهنده احتمالاً از کره شمالی با هویت‌های جعلی بر روی پروژه‌های رمزارزی کار می‌کنند.

در ماه سپتامبر، FBI هشدار داده بود که هکرهای کره شمالی، شرکت‌های رمزارزی و پروژه‌های مالی غیرمتمرکز را با بدافزارهایی که به‌عنوان پیشنهاد شغلی ارائه می‌شوند، هدف قرار می‌دهند.