Enlace de reunión de Zoom falso provoca un gran robo de Activos Cripto
Recientemente, varios usuarios han informado sobre una técnica de phishing que se disfraza como un enlace de reunión de Zoom. Una víctima, al hacer clic en el enlace malicioso e instalar el software, tuvo sus activos encriptados robados, con pérdidas de hasta un millón de dólares. En respuesta a este evento, el equipo de seguridad realizó un análisis profundo y rastreó el flujo de fondos del hacker.
Análisis de enlaces de phishing
Los hackers utilizan dominios similares a "app.us4zoom.us" para disfrazarse de enlaces de reuniones de Zoom normales. La página es altamente similar a la interfaz real de las reuniones de Zoom, y cuando los usuarios hacen clic en el botón "Iniciar reunión", se activa la descarga de un paquete de instalación malicioso, en lugar de iniciar el cliente local de Zoom.
A través de la detección de este dominio, se encontró la dirección del registro de monitoreo del hacker. Al encriptar, se descubrió que se trata de un registro de un script que intenta enviar mensajes a través de la API de Telegram, utilizando el idioma ruso. El sitio ha estado en línea durante 27 días, el hacker podría ser ruso y comenzó a buscar objetivos para desplegar malware a partir del 14 de noviembre, luego a través de la API de Telegram monitorea si el objetivo hace clic en el botón de descarga de la página de phishing.
Análisis de malware
El nombre del archivo del paquete de instalación malicioso es "ZoomApp_v.3.14.dmg". Al abrirlo, inducirá al usuario a ejecutar el script malicioso ZoomApp.file en Terminal y solicitará la contraseña de la máquina.
Después de decodificar el contenido de ejecución de archivos maliciosos, se descubrió que se trataba de un script de osascript malicioso. Este script buscará y ejecutará un archivo ejecutable oculto llamado ".ZoomApp". Al analizar el paquete de instalación original, se encontró efectivamente este archivo ejecutable oculto.
Análisis de Comportamiento Malicioso
análisis estático
Sube el archivo binario a la plataforma de inteligencia de amenazas para su análisis, ha sido marcado como un archivo malicioso. A través del análisis de desensamblado estático, se descubrió que el código de entrada se utiliza para la desencriptación de datos y la ejecución de scripts. La parte de datos está mayormente encriptada y codificada.
Al descifrar, se descubrió que este archivo binario finalmente ejecuta un script malicioso de osascript, que recopila información del dispositivo del usuario y la envía al backend. El script enumera diferentes rutas de ID de plugins, lee la información del KeyChain del ordenador, recopila información del sistema, datos del navegador, datos de la encriptación de wallets, datos de Telegram, datos de notas de Notes y datos de cookies, entre otros.
La información recopilada será comprimida y enviada a un servidor controlado por hackers. Debido a que el malware induce a los usuarios a ingresar contraseñas mientras se ejecuta y recopila datos de KeyChain, los hackers pueden obtener las frases semilla del monedero del usuario, claves privadas y otra información sensible, robando así activos.
La dirección IP del servidor del hacker está ubicada en los Países Bajos y ha sido marcada como maliciosa por una plataforma de inteligencia de amenazas.
análisis dinámico
En un entorno virtual, se ejecuta dinámicamente el programa malicioso y se analiza el proceso, observando que el programa malicioso recopila datos de la máquina local y envía información de monitoreo de procesos al servidor de backend.
Análisis del flujo de fondos
Al analizar la dirección del hacker proporcionada por la víctima, se descubrió que el hacker obtuvo más de 1 millón de dólares, incluyendo USD0++, MORPHO y ETH. De estos, USD0++ y MORPHO fueron intercambiados por 296 ETH.
La dirección del hacker recibió transferencias pequeñas de ETH, sospechosamente como un pago por la comisión. La dirección de origen de los fondos transfirió pequeñas cantidades de ETH a cerca de 8,800 direcciones, lo que podría ser una "plataforma dedicada a proporcionar comisiones".
Se han transferido 296.45 ETH de los fondos robados a una nueva dirección. Esta dirección involucra múltiples cadenas, y el saldo actual es de 32.81 ETH. Las principales rutas de salida de ETH incluyen transferencias a múltiples direcciones, una parte intercambiada por USDT y transferencias a intercambios como Gate.
Estas direcciones de extensión están asociadas con la salida de transferencias en múltiples plataformas de intercambio como Bybit, Cryptomus.com, Swapspace, Gate, MEXC, y están relacionadas con varias direcciones marcadas como Angel Drainer y Theft. Parte del ETH aún permanece en una dirección.
Las huellas de las transacciones de USDT muestran que los fondos fueron transferidos a plataformas como Binance, MEXC y FixedFloat.
Sugerencias de Seguridad
Este tipo de ataque combina técnicas de ingeniería social y ataques de troyanos, por lo que los usuarios deben estar especialmente alerta. Se recomienda verificar cuidadosamente antes de hacer clic en el enlace de la reunión, evitar ejecutar software y comandos de origen desconocido, instalar software antivirus y actualizarlo regularmente. Los usuarios pueden consultar manuales de seguridad relacionados para aumentar su conciencia y capacidad de protección en ciberseguridad.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 me gusta
Recompensa
8
4
Compartir
Comentar
0/400
consensus_whisperer
· hace10h
¡Clásico! Otra vez este viejo truco.
Ver originalesResponder0
DegenRecoveryGroup
· hace10h
Impuesto sobre el coeficiente intelectual, ¿quién te mandó a hacer clic?
Ver originalesResponder0
DefiSecurityGuard
· hace10h
*suspiro* otro día, otro vector de explotación... ingeniería social clásica a través del spoofing de dominio. ngmi si todavía estás cayendo por estos
Enlace falso de Zoom provoca un robo de activos cripto de millones de dólares, se revela el flujo de fondos del hacker.
Enlace de reunión de Zoom falso provoca un gran robo de Activos Cripto
Recientemente, varios usuarios han informado sobre una técnica de phishing que se disfraza como un enlace de reunión de Zoom. Una víctima, al hacer clic en el enlace malicioso e instalar el software, tuvo sus activos encriptados robados, con pérdidas de hasta un millón de dólares. En respuesta a este evento, el equipo de seguridad realizó un análisis profundo y rastreó el flujo de fondos del hacker.
Análisis de enlaces de phishing
Los hackers utilizan dominios similares a "app.us4zoom.us" para disfrazarse de enlaces de reuniones de Zoom normales. La página es altamente similar a la interfaz real de las reuniones de Zoom, y cuando los usuarios hacen clic en el botón "Iniciar reunión", se activa la descarga de un paquete de instalación malicioso, en lugar de iniciar el cliente local de Zoom.
A través de la detección de este dominio, se encontró la dirección del registro de monitoreo del hacker. Al encriptar, se descubrió que se trata de un registro de un script que intenta enviar mensajes a través de la API de Telegram, utilizando el idioma ruso. El sitio ha estado en línea durante 27 días, el hacker podría ser ruso y comenzó a buscar objetivos para desplegar malware a partir del 14 de noviembre, luego a través de la API de Telegram monitorea si el objetivo hace clic en el botón de descarga de la página de phishing.
Análisis de malware
El nombre del archivo del paquete de instalación malicioso es "ZoomApp_v.3.14.dmg". Al abrirlo, inducirá al usuario a ejecutar el script malicioso ZoomApp.file en Terminal y solicitará la contraseña de la máquina.
Después de decodificar el contenido de ejecución de archivos maliciosos, se descubrió que se trataba de un script de osascript malicioso. Este script buscará y ejecutará un archivo ejecutable oculto llamado ".ZoomApp". Al analizar el paquete de instalación original, se encontró efectivamente este archivo ejecutable oculto.
Análisis de Comportamiento Malicioso
análisis estático
Sube el archivo binario a la plataforma de inteligencia de amenazas para su análisis, ha sido marcado como un archivo malicioso. A través del análisis de desensamblado estático, se descubrió que el código de entrada se utiliza para la desencriptación de datos y la ejecución de scripts. La parte de datos está mayormente encriptada y codificada.
Al descifrar, se descubrió que este archivo binario finalmente ejecuta un script malicioso de osascript, que recopila información del dispositivo del usuario y la envía al backend. El script enumera diferentes rutas de ID de plugins, lee la información del KeyChain del ordenador, recopila información del sistema, datos del navegador, datos de la encriptación de wallets, datos de Telegram, datos de notas de Notes y datos de cookies, entre otros.
La información recopilada será comprimida y enviada a un servidor controlado por hackers. Debido a que el malware induce a los usuarios a ingresar contraseñas mientras se ejecuta y recopila datos de KeyChain, los hackers pueden obtener las frases semilla del monedero del usuario, claves privadas y otra información sensible, robando así activos.
La dirección IP del servidor del hacker está ubicada en los Países Bajos y ha sido marcada como maliciosa por una plataforma de inteligencia de amenazas.
análisis dinámico
En un entorno virtual, se ejecuta dinámicamente el programa malicioso y se analiza el proceso, observando que el programa malicioso recopila datos de la máquina local y envía información de monitoreo de procesos al servidor de backend.
Análisis del flujo de fondos
Al analizar la dirección del hacker proporcionada por la víctima, se descubrió que el hacker obtuvo más de 1 millón de dólares, incluyendo USD0++, MORPHO y ETH. De estos, USD0++ y MORPHO fueron intercambiados por 296 ETH.
La dirección del hacker recibió transferencias pequeñas de ETH, sospechosamente como un pago por la comisión. La dirección de origen de los fondos transfirió pequeñas cantidades de ETH a cerca de 8,800 direcciones, lo que podría ser una "plataforma dedicada a proporcionar comisiones".
Se han transferido 296.45 ETH de los fondos robados a una nueva dirección. Esta dirección involucra múltiples cadenas, y el saldo actual es de 32.81 ETH. Las principales rutas de salida de ETH incluyen transferencias a múltiples direcciones, una parte intercambiada por USDT y transferencias a intercambios como Gate.
Estas direcciones de extensión están asociadas con la salida de transferencias en múltiples plataformas de intercambio como Bybit, Cryptomus.com, Swapspace, Gate, MEXC, y están relacionadas con varias direcciones marcadas como Angel Drainer y Theft. Parte del ETH aún permanece en una dirección.
Las huellas de las transacciones de USDT muestran que los fondos fueron transferidos a plataformas como Binance, MEXC y FixedFloat.
Sugerencias de Seguridad
Este tipo de ataque combina técnicas de ingeniería social y ataques de troyanos, por lo que los usuarios deben estar especialmente alerta. Se recomienda verificar cuidadosamente antes de hacer clic en el enlace de la reunión, evitar ejecutar software y comandos de origen desconocido, instalar software antivirus y actualizarlo regularmente. Los usuarios pueden consultar manuales de seguridad relacionados para aumentar su conciencia y capacidad de protección en ciberseguridad.