미틴 맬웨어, 회의 앱을 악용해 암호화폐 지갑을 공격합니다

“Meeten”이라는 새로운 악성 소프트웨어 캠페인이 가짜 회의 애플리케이션을 사용하여 웹3 전문가들을 대상으로 민감한 데이터와 암호화폐를 훔치는 것을 목표로 하고 있습니다.

Cado Security Labs에 의해 발견된 이 멀웨어는 macOS와 Windows 플랫폼 모두에서 작동하며, AI가 생성한 콘텐츠를 이용하여 합법적으로 보이는 첨단 피싱 사기의 일부입니다.

Meeten의 공격자들은 가짜 회사 “Meetio”의 대표로 가장하며, Clusee와 Meeten.gg를 포함한 여러 별명으로 운영해왔습니다.

피해자를 유혹하기 위해, 이 사기꾼들은 AI가 생성한 블로그와 소셜 몼디어 프로필을 완비한 전문적인 웹사이트를 만들어 신뢰성을 확립합니다.

피해자들은 주로 텔레그램을 통해 접근을 받는데, 대개는 친숙한 연락처를 사칭한 사람에게서 비즈니스 기회에 대해 논의하자는 초대를 받습니다.

피해자는 가짜 회사의 웹사이트에서 “Meeten” 회의 애플리케이션을 다운로드하라는 지시를 받습니다. 하지만, 이 애플리케이션은 합법적인 컨퍼런싱 도구가 아니라 정보 도용 도구입니다.

이 악성 소프트웨어는 암호화폐, 브라우저 인증 정보, 그리고 민감한 개인 정보를 빼돌리도록 설계되어 있습니다.

어떤 경우에는 사기꾼들이 피해자에게 자신들의 회사로부터 투자 설명회를 보내는 등 상당한 계획을 세우며, 이를 통해 그들이 사기임을 더욱 확신시킵니다.

피해자들은 해당 애플리케이션을 다운로드한 후 암호화폐와 다른 금융 자산을 잃었다고 보고하였습니다.

특히, Meeten 웹사이트는 자신의 악성 코드가 설치되지 않더라도 브라우저에 저장된 암호화폐를 훔칠 수 있는 JavaScript를 내장하고 있습니다. 이는 공격의 다층적인 성격을 보여주는데, 피해자의 자산이 여러 단계에서 손상될 수 있음을 보여줍니다.

Meeten의 macOS 버전은 “fastquery”라는 64비트 Rust 바이너리로 위장합니다. 일단 실행되면, 연결 오류를 가장한 팝업을 통해 사용자의 비밀번호를 요청합니다.

그 다음 이 멀웨어는 브라우저 쿠키, 자동 완성 크리덴셜, 그리고 Ledger와 Trezor 같은 대중적인 암호화폐 지갑에서의 지갑 데이터 등 민감 정보를 찾습니다. 도난당한 데이터는 zip 파일로 묶여서 원격 서버로 전송됩니다.

Meeten의 윈도우 버전은 Electron 기반의 어플리케이션 구조를 사용하여 브라우저의 데이터, 텔레그램 자격증명, 그리고 암호화폐 지갑을 타겟으로 합니다. 또한 자바스크립트를 바이트 코드로 컴파일하는 등의 고급 기술을 활용하여 탐지를 회피합니다.

이번 캠페인에서 AI의 사용은 사이버 위협의 복잡성이 점차 증가하고 있음을 보여줍니다.

AI가 생성한 콘텐츠는 합법성에 대한 외관을 더하므로, 사용자들이 사기성 웹사이트를 감지하는 것이 더 어려워집니다. 이는 AI가 악성 코드 개발뿐만 아니라 설득력 있는 사회 공학 캠페인을 구상하는데도 사용되는 성장 추세를 나타냅니다.

보고된 사기 중 하나는 피해자가 지인을 흉내 내는 텔레그램 계정에 연락을 받아, 정통해 보이는 투자 발표를 받는 사례였습니다. 한번 신뢰가 확립되면, 피해자는 Meeten 웹사이트로 이동하도록 안내되었고, 이 사이트에서는 악성 코드가 호스팅되고 있었습니다.

피해를 피하기 위해, 사용자들은 사업 연락처의 진위를 확인하는 것이 중요하다고 강조하고 있습니다. 항상 웹사이트 URL을 교차 확인하고, 검증되지 않은 소스에서 소프트웨어를 다운로드하는 것을 피하며, 엄격한 사이버 보안 관행을 유지해야 합니다.