Троян Realst крадет криптовалюту под видом софта для видеоконференций

Исследователи Cado Security обнаружили новую вредоносную кампанию, использующую инфостилер Realst. Жертвам рассылаются деловые предложения с приглашением на видеоконференцию, для которой необходимо скачать специальное приложение. Об этом сообщает Anti-Malware.ru.

Это приложение — троян. Злоумышленники создали фейковый сайт поставщика программ для видеоконференций, наполненный контентом, сгенерированным ИИ, и поддельные аккаунты в социальных сетях. Название компании менялось с сентября: Clusee, Cuesee, Meeten, Meetone и текущее — Meetio.

Методы распространения разнообразны: мошенники могут, например, использовать поддельные аккаунты знакомых жертвы в Telegram. Зафиксированы случаи предложения сотрудничества в сфере Web3 и инвестиционных проектов.

Сайт содержит JavaScript-код, пытающийся украсть криптовалюту из расширений браузерных кошельков, еще до загрузки Realst. Инфостилер предлагается в версиях для macOS (CallCSSetup.pkg или DMG) и Windows (MeetenApp.exe).

macOS-версия выдает ложные сообщения об ошибках (недоступный сервер, несовместимость с ОС), требуя ввод системного пароля для «исправления». Для повышения привилегий используется osascript. Этот подход схож с техниками, применяемыми Atomic, Cuckoo, MacStealer и Banshee.

Ранее ITinfo сообщало, что Roborock представила новый робот-пылесос Qrevo Curv.