Chiến Dịch Meeten - Mối Đe Dọa Mới Sử Dụng Trí Tuệ Nhân Tạo
Các chuyên gia an ninh mạng phát hiện một chiến dịch tấn công mạng tinh vi sử dụng trí tuệ nhân tạo để thực hiện phát tán phần mềm độc hại có tên Meeten.
Thông tin chi tiết
Chiến dịch này sử dụng phần mềm độc hại Meeten, một trình đánh cắp thông tin đa nền tảng được thiết kế để xâm nhập vào các thiết bị macOS và Windows. Chúng sử dụng các kỹ thuật tiên tiến, bao gồm nội dung được tạo bằng AI, để thêm một lớp tính hợp pháp lẩn tránh các phần mềm bảo mật hiện nay.
Những kẻ tấn công sử dụng các kỹ thuật xã hội để lừa nạn nhân tải phần mềm, các nạn nhân thường được tiếp cận qua Telegram, đôi khi thậm chí là bởi các tài khoản mạo danh những người họ biết. Trong một trường hợp, một mục tiêu nhận được một bản trình bày đầu tư từ chính công ty của họ, cho thấy khả năng trinh sát sâu của những kẻ tấn công. Khi liên lạc được thiết lập, các nạn nhân được hướng dẫn tải xuống ứng dụng Meeten, khởi động việc triển khai mã độc.
Trang web giả mạo lừa tải phần mềm độc hại xuống:
Phần mềm Meeten giả dạng như một trình cài đặt gói hợp pháp. Được viết bằng Rust, phần mềm độc hại sử dụng osascript để nhắc người dùng nhập mật khẩu hệ thống—một chiến thuật thường được sử dụng trong các cuộc tấn công macOS. Sau khi thực thi, nó trích xuất các thông tin nhạy cảm như:
Thông tin đăng nhập Telegram
Mật khẩu Keychain
Chi tiết thẻ ngân hàng
Cookies và dữ liệu điền tự động từ các trình duyệt phổ biến như Chrome và Edge
Thông tin đăng nhập từ ví tiền điện tử, bao gồm Ledger và Trezor
Dữ liệu bị đánh cắp được nén thành tệp ZIP và gửi đến các máy chủ từ xa để khai thác thêm. Đáng chú ý là phiên bản macOS sử dụng các nhị phân đa kiến trúc, thể hiện tính linh hoạt của phần mềm độc hại.
Phiên bản Windows, được xác định là MeetenApp.exe, được đóng gói bằng Hệ Thống Cài Đặt Kịch Bản Nullsoft (NSIS) và mang chữ ký số bị đánh cắp từ "Brys Software". Phần mềm độc hại được triển khai dưới dạng ứng dụng Electron, tận dụng JavaScript được biên dịch thành mã byte V8 để tránh bị phát hiện. Các chức năng chính bao gồm:
Trích xuất thông tin đăng nhập trình duyệt và dữ liệu ví tiền điện tử
Duy trì trên các hệ thống thông qua các khóa Registry của Windows
Thu thập số liệu hệ thống như ID phần cứng và vị trí địa lý
Phiên bản Windows còn tải xuống các payload độc hại bổ sung, nâng cao khả năng đánh cắp dữ liệu.
Các kẻ tấn công đã mở rộng phạm vi sử dụng AI vượt ra ngoài việc phát triển phần mềm độc hại. Với sự trợ giúp của trí tuệ nhân tạo, chúng có thể tạo ra các nội dung website cực kỳ thuyết phục và tiến hành mạo danh một cách tinh vi các doanh nghiệp hợp pháp nhằm thu hút và lừa gạt các nạn nhân. Chiến lược này phản ánh một xu hướng đáng lo ngại trong thế giới tội phạm mạng, nơi các công nghệ tiên tiến được biến đổi thành công cụ để thực hiện các kỹ thuật xã hội ngày càng tinh vi.
IOCs
URL & Domain:
139[.]162[.]179.170:8080
deliverynetwork[.]observer/qfast/UpdateMC.zip
deliverynetwork[.]observer/qfast/AdditionalFilesForMeet.zip
www[.]meeten.us
www[.]meetio.one
www[.]meetone.gg
www[.]clusee.com
199[.]247.4.86
MD5 File Hash:
| File | md5 |
| CallCSSetup.pkg | 9b2d4837572fb53663fffece9415ec5a |
| Meeten.exe | 6a925b71afa41d72e4a7d01034e8501b |
| UpdateMC.exe | 209af36bb119a5e070bad479d73498f7 |
| MicrosoftRuntimeComponentsX64.exe | d74a885545ec5c0143a172047094ed59 |
| CluseeApp.pkg | 09b7650d8b4a6d8c8fbb855d6626e25d |
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch này:
Xác minh tính xác thực của các liên hệ, đặc biệt là trên các nền tảng như Telegram.
Tránh tải xuống phần mềm từ các trang web không quen thuộc hoặc chưa được xác minh.
Thường xuyên theo dõi tài khoản tài chính và ví tiền điện tử để phát hiện hoạt động không được ủy quyền.
Tham khảo:
