网络犯罪分子伪装视频会议软件窃取加密货币:Meeten 恶意软件瞄准 Web3 从业者
网络犯罪分子正利用虚假视频会议平台大肆传播恶意软件,专门感染 Windows 和 Mac 电脑,目标直指 Web3 领域的工作人员,意图窃取加密货币及其他敏感信息。该攻击活动自 2024 年 9 月起持续活跃,因其常用“Meeten”作为会议软件名称而得名,目前已发现 Windows 和 macOS 两个版本。
Cado 安全实验室率先揭露这一威胁,并指出攻击者不断变换假冒会议软件的名称和品牌,此前曾使用过“Clusee”“Cuesee”“Meetone”“Meetio”等名称,以躲避检测并维持攻击效果。
Zoom & Doom: How INKY Unraveled A Credential Harvesting Phishing Scam
攻击流程:从 Telegram 钓鱼到虚假网站诱导
攻击者通常通过 Telegram 等社交平台发起接触,假装认识受害者并讨论商业合作,随后安排视频会议。诈骗者甚至会提前发送目标公司的投资演示文稿,制造高度针对性的社工场景。
受害者被引导访问假冒的 Meeten 官网。这些网站大量使用 AI 生成的内容,伪装成拥有官方网站和社交媒体支持的合法应用。一旦用户点击下载“会议软件”,实际下载的却是 Realst 信息窃取恶意软件(Realst Stealer)。
值得注意的是,Meeten 网站本身还嵌入 JavaScript 代码,即使在安装恶意软件之前,也能直接窃取浏览器中存储的加密货币钱包信息。
Mac 版本:伪装安装包 + 提权窃取
下载 macOS 版本的用户会获得名为“CallCSSetup.pkg”(或其他变体)的安装包。运行后,恶意软件会通过 macOS 命令行工具“osascript”弹出系统密码输入框,要求用户输入管理员密码以完成“权限升级”。
macOS: balena-cli can't be opened because Apple cannot check it for malicious software · Issue #1479 · balena-io/balena-cli
输入密码后,界面会显示一条虚假错误消息:“无法连接到服务器。请重新安装或使用 VPN。” 实际上,后台 Realst 恶意软件已悄然启动,窃取以下数据并打包上传:
- Telegram 凭证
- 银行卡详细信息
- macOS 钥匙串凭证
- 主流浏览器(Chrome、Opera、Brave、Edge、Arc、CocCoc、Vivaldi)的 Cookie 和自动填充凭据
- Ledger 和 Trezor 硬件钱包信息
所有数据先本地压缩,再连同设备详细信息一起发送至远程服务器。
Windows 版本:签名伪装 + 多阶段加载
Windows 版本以 NSIS 安装程序形式分发,文件名为“MeetenApp.exe”,并盗用 Brys Software 的合法证书进行数字签名,以增加可信度。
How to Digitally Sign Executable Files and Why It's Important
安装包内包含 7zip 存档和 Electron 框架构建的核心应用(使用 Bytenode 编译为 V8 字节码以规避检测)。程序会连接远程服务器“deliverynetwork[.]observer”,下载受密码保护的压缩包,其中包含系统分析工具和最终恶意负载(基于 Rust 开发)。
Rust 负载进一步收集并压缩以下信息后外传:
- Telegram 凭证
- 银行卡详细信息
- 浏览器 Cookie、历史记录和自动填充凭据(支持 Chrome、Opera、Brave、Edge、Arc、CocCoc、Vivaldi)
- Ledger、Trezor、Phantom 和 Binance 钱包
与 Mac 版本相比,Windows 变体加载机制更复杂、规避能力更强,还能通过修改注册表实现重启后持久化驻留。
防范建议
Web3 从业者因频繁参与社交和会议讨论,成为此类针对性攻击的主要目标。强烈建议:
- 绝不安装通过社交媒体或陌生人推荐的会议软件
- 安装前必须验证软件来源,并使用 VirusTotal 等多引擎扫描工具检查
- 启用浏览器扩展防护,警惕任何要求输入系统密码或连接可疑服务器的提示
- 定期检查硬件钱包和浏览器扩展的安全性
Crypto Safety 2025: 7 Easy Ways to Avoid Hacks and Scams | Trust Wallet
网络安全专家提醒:诈骗者正利用 AI 和社工技术不断升级攻击手段,保持警惕、验证来源是保护加密资产的最有效方式。遇到可疑会议邀请时,请通过官方渠道独立验证后再行动。
