攻击概述网络犯罪分子正利用欺诈性视频会议平台感染Windows和Mac电脑通过虚假的商务会议专门针对Web3行业从业者以窃取加密货币资产。这一恶意活动根据假冒会议软件的常用名称被称为Meeten自2024年9月以来持续活跃。该恶意软件同时具有Windows和macOS版本主要窃取目标用户的加密货币资产银行信息浏览器存储的敏感数据Mac钥匙串凭据攻击演变不断更换身份的变色龙Meeten由Cado安全实验室发现并追踪。研究人员指出威胁者不断更改假冒会议软件的名称和品牌以逃避检测此前曾使用过多个别名表格曾用名称活跃时期Clusee早期版本Cuesee中期变种Meetone过渡版本Meetio近期版本Meeten当前活跃2024年9月至今攻击手法深度解析第一步建立信任 — 社交工程诈骗者通过精心策划的社交工程与目标建立联系Telegram接触冒充熟人或商业伙伴发起对话讨论商业机会并安排会议电话诱导以Web3工作相关话题为由引导受害者下载指定软件材料伪造甚至发送目标公司的真实投资演示文稿增加可信度⚠️关键警示诈骗者使用的Telegram账号可能是盗用或伪造的切勿仅凭社交账号身份就信任对方。第二步诱导下载 — 虚假会议平台受害者被引导至Meeten网站下载所谓的会议应用程序。这些网站具有高度迷惑性填充AI生成的内容增加合法性配套虚假的官方网站和社交媒体账号域名和界面设计模仿真实会议软件更危险的是Meeten网站内嵌恶意JavaScript即使受害者未安装任何软件只要访问网站就可能被盗取浏览器中存储的加密货币钱包信息恶意软件技术剖析macOS版本CallCSSetup.pkg表格特征详情文件名CallCSSetup.pkg历史版本曾使用其他名称权限获取利用macOSosascript命令行工具诱骗用户输入系统密码伪装提示显示无法连接到服务器请重新安装或使用VPN的虚假错误信息实际后台执行的数据窃取✅ Telegram登录凭据✅ 银行卡详细信息✅ 钥匙串Keychain密码✅ 浏览器Cookie与自动填充数据支持Chrome、Opera、Brave、Edge、Arc、CocCoc、Vivaldi✅Ledger和Trezor硬件钱包信息数据外泄流程本地存储 → ZIP压缩 → 连同系统信息版本、型号等一并上传至远程服务器。Windows版本MeetenApp.exe表格特征详情文件格式Nullsoft脚本安装程序NSIS数字签名使用从Brys Software窃取的证书签名逃避安全检测核心结构7zip存档app-64 Electron应用核心app.asar代码保护使用Bytenode编译为V8字节码增加逆向分析难度攻击链安装程序连接远程服务器deliverynetwork[.]observer下载密码保护的压缩包AdditionalFilesForMeet.zip释放两个关键组件系统分析器MicrosoftRuntimeComponentsX86.exe核心恶意负载UpdateMC.exe基于Rust编写Windows版窃取范围更广✅ Telegram凭据✅ 银行卡信息✅ 浏览器数据Cookie、历史记录、自动填充✅Ledger、Trezor、Phantom、Binance钱包持久化机制通过修改Windows注册表实现开机自启重启后仍能继续运行。平台对比Windows版更具威胁性表格能力macOS版Windows版权限提升✅ 诱骗输入密码✅ 数字签名欺骗代码混淆基础Bytenode字节码持久化有限✅ 注册表修改钱包支持Ledger、TrezorLedger、Trezor、Phantom、Binance传送机制直接安装多阶段下载防护建议️ 立即行动清单验证软件来源绝不安装通过社交媒体推荐的软件务必在官方应用商店或官网下载多重扫描使用VirusTotal等在线多引擎扫描工具检测可疑文件权限审慎macOS弹出密码提示时确认应用来源和必要性隔离资产将大额加密货币存储在离线冷钱包避免在常用电脑浏览器中保存钱包信息社交验证对Telegram等平台的熟人发起视频通话或语音确认身份 Web3从业者特别警示Web3行业人员是此类攻击的高危目标社交工程是该领域最常见的攻击入口攻击者往往先建立长期合作关系再诱导安装恶意软件建议为工作设备配置独立的安全环境与日常使用的电脑分离总结Meeten/Realst攻击代表了社交工程技术渗透的复合型威胁新高度。攻击者不仅伪造软件还伪造整个商业场景——从Telegram对话到投资演示文稿环环相扣。Web3从业者需提高警惕任何要求下载非官方软件的商务会议都可能是精心设计的陷阱。