Nhà nghiên cứu Tara Gould của Cado Security (London) cho biết: "Những kẻ tấn công đứng sau phần mềm độc hại đã thiết lập các công ty giả mạo sử dụng AI để tăng tính hợp pháp của chúng. Công ty này liên hệ với các mục tiêu để thiết lập cuộc gọi video, nhắc nhở người dùng tải xuống ứng dụng họp từ trang web, đó là Realst infostealer".
Hoạt động này được đặt tên mã là Meeten vì sử dụng các tên như Clusee, Cuesee, Meeten, Meetone và Meetio cho các trang web giả mạo.
Các cuộc tấn công được thực hiện bằng cách tiếp cận các mục tiêu trên Telegram để thảo luận về một cơ hội đầu tư tiềm năng, thúc giục họ tham gia cuộc gọi video được lưu trữ trên một trong những nền tảng đáng ngờ. Người dùng truy cập vào trang web được nhắc tải xuống phiên bản Windows hoặc macOS tùy thuộc vào hệ điều hành được sử dụng.
Sau khi cài đặt và khởi chạy trên macOS, người dùng sẽ thấy thông báo "Phiên bản hiện tại của ứng dụng không hoàn toàn tương thích với phiên bản macOS của bạn" và họ cần nhập mật khẩu hệ thống để ứng dụng hoạt động như mong đợi.
Điều này được thực hiện bằng kỹ thuật osascript đã được một số họ macOS stealer áp dụng như Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer và Cthulhu Stealer. Mục tiêu cuối cùng của cuộc tấn công là đánh cắp dữ liệu nhạy cảm, bao gồm cả ví tiền điện tử.
Phần mềm độc hại này cũng được trang bị để đánh cắp thông tin đăng nhập Telegram, thông tin ngân hàng, dữ liệu iCloud Keychain và cookie trình duyệt từ Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc và Vivaldi.
Đây không phải là lần đầu tiên các thương hiệu phần mềm họp giả mạo được sử dụng để phát tán phần mềm độc hại. Đầu tháng 3/2024, Jamf Threat Labs tiết lộ rằng họ đã phát hiện ra một trang web giả mạo có tên là meethub[.]gg để phát tán phần mềm độc hại có chung điểm trùng lặp với Realst.
Sau đó vào tháng 6, Recorded Future đã công bố chi tiết một chiến dịch có tên Markopolo nhắm vào người dùng tiền điện tử bằng phần mềm họp ảo giả mạo để rút tiền trong ví của họ bằng cách sử dụng Rhadamanthys, Stealc và Atomic.
Sự phát triển này diễn ra khi những kẻ đe dọa đứng sau phần mềm độc hại Banshee Stealer macOS đã đóng cửa hoạt động sau khi mã nguồn của chúng bị rò rỉ không rõ lý do. Phần mềm độc hại này được quảng cáo trên các diễn đàn tội phạm mạng với mức phí đăng ký hàng tháng là 3.000 USD.
Sự xuất hiện của các phần mềm độc hại mới như Fickle Stealer, Wish Stealer, Hexon Stealer và Celestial Stealer cũng diễn ra sau khi người dùng và doanh nghiệp tìm kiếm phần mềm và công cụ AI vi phạm bản quyền lần lượt trở thành mục tiêu của RedLine Stealer và Poseidon Stealer.
Về chiến dịch RedLine Stealer, Kaspersky nhấn mạnh: "Những kẻ tấn công đứng sau chiến dịch này rõ ràng muốn tiếp cận các tổ chức của những doanh nhân nói tiếng Nga sử dụng phần mềm để tự động hóa các quy trình kinh doanh".