El Malware Meeten Explota Aplicaciones de Reuniones para Atacar Carteras de Criptomonedas

Una nueva campaña de malware denominada “Meeten” está dirigiendo sus ataques a profesionales de Web3, utilizando una aplicación falsa de reuniones para robar datos sensibles y criptomonedas.

Descubierto por Cado Security Labs, el malware opera en las plataformas macOS y Windows y es parte de una sofisticada estafa de phishing diseñada para parecer legítima a través del uso de contenido generado por IA.

Los atacantes detrás de Meeten se hacen pasar por representantes de una compañía falsa, “Meetio”, que ha operado bajo múltiples alias, incluyendo Clusee y Meeten.gg.

Para atraer a las víctimas, los estafadores crean sitios web de apariencia profesional, completos con blogs generados por IA y perfiles en redes sociales, para establecer credibilidad.

Las víctimas suelen ser abordadas a través de Telegram, a menudo por alguien que se hace pasar por un contacto conocido, y se les invita a discutir oportunidades de negocio a través de una videollamada.

Se dirige a la víctima para que descargue la aplicación de reuniones “Meeten” desde el sitio web de la falsa empresa. Sin embargo, en lugar de una herramienta de conferencias legítima, la aplicación es un ladrón de información.

El malware está diseñado para exfiltrar criptomonedas, credenciales de navegadores y información personal sensible.

En algunos casos, los estafadores demuestran una planificación extensa al enviar a las víctimas presentaciones de inversión de sus propias empresas, convenciéndolas aún más de la autenticidad de la estafa.

Las víctimas informan que han perdido criptomonedas y otros activos financieros después de descargar la aplicación.

Es notable que los sitios web de Meeten también incorporan JavaScript capaz de robar criptomonedas almacenadas en los navegadores, incluso si el malware en sí no está instalado. Esto demuestra la naturaleza estratificada del ataque, donde los activos de las víctimas pueden verse comprometidos en varias etapas.

La variante macOS de Meeten se disfraza como un binario Rust de 64 bits llamado “fastquery”. Una vez ejecutado, solicita la contraseña del usuario a través de un pop-up bajo la apariencia de un error de conexión.

El malware luego busca información sensible, incluyendo cookies del navegador, credenciales de autocompletado y datos de billetera de monederos cripto populares como Ledger y Trezor. Los datos robados se empaquetan en un archivo zip y se envían a un servidor remoto.

La versión de Windows de Meeten utiliza una estructura de aplicación basada en Electron para obtener datos de los navegadores, las credenciales de Telegram y las carteras de criptomonedas. También emplea técnicas avanzadas como la compilación de JavaScript en bytecode para evadir la detección.

El uso de la IA en esta campaña resalta la creciente sofisticación de las amenazas cibernéticas.

El contenido generado por IA añade un barniz de legitimidad, lo que dificulta que los usuarios detecten sitios web fraudulentos. Esto representa una tendencia creciente en la que la IA se utiliza no solo para el desarrollo de malware, sino también para elaborar convincentes campañas de ingeniería social.

Se informó de una estafa en la que una víctima fue contactada por una cuenta de Telegram que imitaba a un conocido, acompañada de una presentación de inversión aparentemente auténtica. Una vez que se estableció la confianza, la víctima fue dirigida al sitio web de Meeten, que alojaba el malware.

Para evitar convertirse en víctima, se insta a los usuarios a verificar la autenticidad de los contactos de negocios. Siempre contrasten las URL de los sitios web, eviten descargar software de fuentes no verificadas y mantengan estrictas prácticas de ciberseguridad.