网络犯罪分子正利用虚假视频会议平台大肆传播恶意软件专门感染 Windows 和 Mac 电脑目标直指 Web3 领域的工作人员意图窃取加密货币及其他敏感信息。该攻击活动自 2024 年 9 月起持续活跃因其常用“Meeten”作为会议软件名称而得名目前已发现 Windows 和 macOS 两个版本。Cado 安全实验室率先揭露这一威胁并指出攻击者不断变换假冒会议软件的名称和品牌此前曾使用过“Clusee”“Cuesee”“Meetone”“Meetio”等名称以躲避检测并维持攻击效果。Zoom Doom: How INKY Unraveled A Credential Harvesting Phishing Scam攻击流程从 Telegram 钓鱼到虚假网站诱导攻击者通常通过 Telegram 等社交平台发起接触假装认识受害者并讨论商业合作随后安排视频会议。诈骗者甚至会提前发送目标公司的投资演示文稿制造高度针对性的社工场景。受害者被引导访问假冒的 Meeten 官网。这些网站大量使用 AI 生成的内容伪装成拥有官方网站和社交媒体支持的合法应用。一旦用户点击下载“会议软件”实际下载的却是 Realst 信息窃取恶意软件Realst Stealer。值得注意的是Meeten 网站本身还嵌入 JavaScript 代码即使在安装恶意软件之前也能直接窃取浏览器中存储的加密货币钱包信息。Mac 版本伪装安装包 提权窃取下载 macOS 版本的用户会获得名为“CallCSSetup.pkg”或其他变体的安装包。运行后恶意软件会通过 macOS 命令行工具“osascript”弹出系统密码输入框要求用户输入管理员密码以完成“权限升级”。macOS: balena-cli cant be opened because Apple cannot check it for malicious software · Issue #1479 · balena-io/balena-cli输入密码后界面会显示一条虚假错误消息“无法连接到服务器。请重新安装或使用 VPN。” 实际上后台 Realst 恶意软件已悄然启动窃取以下数据并打包上传Telegram 凭证银行卡详细信息macOS 钥匙串凭证主流浏览器Chrome、Opera、Brave、Edge、Arc、CocCoc、Vivaldi的 Cookie 和自动填充凭据Ledger 和 Trezor 硬件钱包信息所有数据先本地压缩再连同设备详细信息一起发送至远程服务器。Windows 版本签名伪装 多阶段加载Windows 版本以 NSIS 安装程序形式分发文件名为“MeetenApp.exe”并盗用 Brys Software 的合法证书进行数字签名以增加可信度。How to Digitally Sign Executable Files and Why Its Important安装包内包含 7zip 存档和 Electron 框架构建的核心应用使用 Bytenode 编译为 V8 字节码以规避检测。程序会连接远程服务器“deliverynetwork[.]observer”下载受密码保护的压缩包其中包含系统分析工具和最终恶意负载基于 Rust 开发。Rust 负载进一步收集并压缩以下信息后外传Telegram 凭证银行卡详细信息浏览器 Cookie、历史记录和自动填充凭据支持 Chrome、Opera、Brave、Edge、Arc、CocCoc、VivaldiLedger、Trezor、Phantom 和 Binance 钱包与 Mac 版本相比Windows 变体加载机制更复杂、规避能力更强还能通过修改注册表实现重启后持久化驻留。防范建议Web3 从业者因频繁参与社交和会议讨论成为此类针对性攻击的主要目标。强烈建议绝不安装通过社交媒体或陌生人推荐的会议软件安装前必须验证软件来源并使用 VirusTotal 等多引擎扫描工具检查启用浏览器扩展防护警惕任何要求输入系统密码或连接可疑服务器的提示定期检查硬件钱包和浏览器扩展的安全性Crypto Safety 2025: 7 Easy Ways to Avoid Hacks and Scams | Trust Wallet网络安全专家提醒诈骗者正利用 AI 和社工技术不断升级攻击手段保持警惕、验证来源是保护加密资产的最有效方式。遇到可疑会议邀请时请通过官方渠道独立验证后再行动。