Tautan rapat Zoom palsu memicu pencurian Aset Kripto secara besar-besaran
Baru-baru ini, beberapa pengguna melaporkan metode phishing yang menyamar sebagai tautan rapat Zoom. Seorang korban kehilangan Aset Kripto hingga mencapai satu juta dolar setelah mengklik tautan berbahaya dan menginstal perangkat lunak. Menanggapi kejadian ini, tim keamanan melakukan analisis mendalam dan melacak aliran dana para peretas.
Analisis Tautan Pancingan
Hacker menggunakan domain yang mirip dengan "app.us4zoom.us" untuk menyamar sebagai tautan Zoom meeting yang normal. Halaman ini sangat mirip dengan antarmuka Zoom meeting yang asli, ketika pengguna mengklik tombol "Mulai Rapat", itu akan memicu unduhan paket instalasi berbahaya, bukan memulai klien Zoom lokal.
Melalui pemindaian domain tersebut, ditemukan alamat log pemantauan hacker. Setelah enkripsi, terungkap bahwa ini adalah catatan log upaya skrip untuk mengirim pesan melalui API Telegram, dengan bahasa yang digunakan adalah bahasa Rusia. Situs ini telah diluncurkan selama 27 hari, hacker tersebut kemungkinan berasal dari Rusia, dan mulai mencari target untuk menyebarkan malware sejak 14 November, kemudian memantau melalui API Telegram apakah target mengklik tombol unduh di halaman phishing.
Analisis Malware
Nama file paket instalasi berbahaya adalah "ZoomApp_v.3.14.dmg". Setelah dibuka, itu akan mengarahkan pengguna untuk menjalankan skrip jahat ZoomApp.file di Terminal dan meminta untuk memasukkan kata sandi mesin.
Setelah mendekode konten eksekusi dari file berbahaya, ditemukan bahwa ini adalah skrip osascript yang berbahaya. Skrip ini akan mencari dan menjalankan file eksekusi tersembunyi bernama ".ZoomApp". Analisis disk pada paket instalasi asli memang menemukan file eksekusi tersembunyi ini.
Analisis Perilaku Jahat
analisis statis
Unggah file biner ke platform intelijen ancaman untuk analisis, telah ditandai sebagai file berbahaya. Melalui analisis dekompilasi statis, ditemukan bahwa kode entri digunakan untuk dekripsi data dan eksekusi skrip. Sebagian besar bagian data telah dienkripsi dan dikodekan.
Setelah didekripsi, file biner ini akhirnya menjalankan skrip osascript jahat, yang akan mengumpulkan informasi perangkat pengguna dan mengirimkannya ke backend. Skrip ini akan mengenumerasi informasi jalur ID plugin yang berbeda, membaca informasi KeyChain komputer, mengumpulkan informasi sistem, data browser, data dompet enkripsi, data Telegram, data catatan Notes, dan data Cookie, dll.
Informasi yang dikumpulkan akan dikompresi dan dikirim ke server yang dikendalikan oleh peretas. Karena program jahat menginduksi pengguna untuk memasukkan kata sandi saat dijalankan dan mengumpulkan data KeyChain, peretas mungkin memperoleh frase pemulihan dompet pengguna, kunci pribadi, dan informasi sensitif lainnya, sehingga mencuri aset.
Alamat IP server hacker terletak di Belanda, telah ditandai sebagai berbahaya oleh platform intelijen ancaman.
analisis dinamis
Dalam lingkungan virtual, program jahat ini dieksekusi secara dinamis dan prosesnya dianalisis, teramati bahwa program jahat mengumpulkan data dari mesin lokal dan mengirimkan informasi pemantauan proses ke backend.
Analisis Aliran Dana
Analisis alamat peretas yang diberikan oleh korban menunjukkan bahwa peretas meraih keuntungan lebih dari 1 juta dolar AS, termasuk USD0++, MORPHO, dan ETH. Di antaranya, USD0++ dan MORPHO ditukarkan menjadi 296 ETH.
Alamat hacker pernah menerima transfer ETH kecil, diduga untuk menyediakan biaya transaksi. Alamat sumber dana mengirimkan ETH kecil ke hampir 8.800 alamat, kemungkinan merupakan "platform yang khusus menyediakan biaya transaksi".
Sebanyak 296,45 ETH dari dana yang dicuri telah dipindahkan ke alamat baru. Alamat tersebut terlibat dalam beberapa rantai, dengan saldo saat ini sebesar 32,81 ETH. Jalur utama pengeluaran ETH mencakup transfer ke beberapa alamat, sebagian ditukarkan menjadi USDT, dan juga masuk ke bursa seperti Gate.
Alamat-alamat ekstensi ini terkait dengan pengiriman keluar selanjutnya dan beberapa platform perdagangan seperti Bybit, Cryptomus.com, Swapspace, Gate, MEXC, dan juga terkait dengan beberapa alamat yang ditandai sebagai Angel Drainer dan Theft. Sebagian ETH masih berada di suatu alamat.
Jejak transaksi USDT menunjukkan bahwa dana telah ditransfer ke platform seperti Binance, MEXC, FixedFloat.
Saran Keamanan
Serangan jenis ini menggabungkan teknik serangan rekayasa sosial dan serangan trojan, pengguna perlu lebih waspada. Disarankan untuk memverifikasi tautan rapat dengan cermat sebelum mengklik, hindari menjalankan perangkat lunak dan perintah yang berasal dari sumber yang tidak jelas, instal perangkat lunak antivirus dan perbarui secara berkala. Pengguna dapat merujuk pada manual keamanan terkait untuk meningkatkan kesadaran dan kemampuan perlindungan keamanan jaringan mereka.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Suka
Hadiah
8
4
Bagikan
Komentar
0/400
consensus_whisperer
· 10jam yang lalu
Klasik! Ini lagi trik lama yang sama.
Lihat AsliBalas0
DegenRecoveryGroup
· 10jam yang lalu
Pajak IQ ya, siapa suruh kamu mengkliknya.
Lihat AsliBalas0
DefiSecurityGuard
· 10jam yang lalu
*sigh* hari lain, vektor eksploitasi lain... rekayasa sosial klasik melalui pemalsuan domain. ngmi jika kamu masih turun untuk ini
Tautan Zoom palsu memicu pencurian Aset Kripto senilai jutaan dolar, aliran dana Hacker terungkap
Tautan rapat Zoom palsu memicu pencurian Aset Kripto secara besar-besaran
Baru-baru ini, beberapa pengguna melaporkan metode phishing yang menyamar sebagai tautan rapat Zoom. Seorang korban kehilangan Aset Kripto hingga mencapai satu juta dolar setelah mengklik tautan berbahaya dan menginstal perangkat lunak. Menanggapi kejadian ini, tim keamanan melakukan analisis mendalam dan melacak aliran dana para peretas.
Analisis Tautan Pancingan
Hacker menggunakan domain yang mirip dengan "app.us4zoom.us" untuk menyamar sebagai tautan Zoom meeting yang normal. Halaman ini sangat mirip dengan antarmuka Zoom meeting yang asli, ketika pengguna mengklik tombol "Mulai Rapat", itu akan memicu unduhan paket instalasi berbahaya, bukan memulai klien Zoom lokal.
Melalui pemindaian domain tersebut, ditemukan alamat log pemantauan hacker. Setelah enkripsi, terungkap bahwa ini adalah catatan log upaya skrip untuk mengirim pesan melalui API Telegram, dengan bahasa yang digunakan adalah bahasa Rusia. Situs ini telah diluncurkan selama 27 hari, hacker tersebut kemungkinan berasal dari Rusia, dan mulai mencari target untuk menyebarkan malware sejak 14 November, kemudian memantau melalui API Telegram apakah target mengklik tombol unduh di halaman phishing.
Analisis Malware
Nama file paket instalasi berbahaya adalah "ZoomApp_v.3.14.dmg". Setelah dibuka, itu akan mengarahkan pengguna untuk menjalankan skrip jahat ZoomApp.file di Terminal dan meminta untuk memasukkan kata sandi mesin.
Setelah mendekode konten eksekusi dari file berbahaya, ditemukan bahwa ini adalah skrip osascript yang berbahaya. Skrip ini akan mencari dan menjalankan file eksekusi tersembunyi bernama ".ZoomApp". Analisis disk pada paket instalasi asli memang menemukan file eksekusi tersembunyi ini.
Analisis Perilaku Jahat
analisis statis
Unggah file biner ke platform intelijen ancaman untuk analisis, telah ditandai sebagai file berbahaya. Melalui analisis dekompilasi statis, ditemukan bahwa kode entri digunakan untuk dekripsi data dan eksekusi skrip. Sebagian besar bagian data telah dienkripsi dan dikodekan.
Setelah didekripsi, file biner ini akhirnya menjalankan skrip osascript jahat, yang akan mengumpulkan informasi perangkat pengguna dan mengirimkannya ke backend. Skrip ini akan mengenumerasi informasi jalur ID plugin yang berbeda, membaca informasi KeyChain komputer, mengumpulkan informasi sistem, data browser, data dompet enkripsi, data Telegram, data catatan Notes, dan data Cookie, dll.
Informasi yang dikumpulkan akan dikompresi dan dikirim ke server yang dikendalikan oleh peretas. Karena program jahat menginduksi pengguna untuk memasukkan kata sandi saat dijalankan dan mengumpulkan data KeyChain, peretas mungkin memperoleh frase pemulihan dompet pengguna, kunci pribadi, dan informasi sensitif lainnya, sehingga mencuri aset.
Alamat IP server hacker terletak di Belanda, telah ditandai sebagai berbahaya oleh platform intelijen ancaman.
analisis dinamis
Dalam lingkungan virtual, program jahat ini dieksekusi secara dinamis dan prosesnya dianalisis, teramati bahwa program jahat mengumpulkan data dari mesin lokal dan mengirimkan informasi pemantauan proses ke backend.
Analisis Aliran Dana
Analisis alamat peretas yang diberikan oleh korban menunjukkan bahwa peretas meraih keuntungan lebih dari 1 juta dolar AS, termasuk USD0++, MORPHO, dan ETH. Di antaranya, USD0++ dan MORPHO ditukarkan menjadi 296 ETH.
Alamat hacker pernah menerima transfer ETH kecil, diduga untuk menyediakan biaya transaksi. Alamat sumber dana mengirimkan ETH kecil ke hampir 8.800 alamat, kemungkinan merupakan "platform yang khusus menyediakan biaya transaksi".
Sebanyak 296,45 ETH dari dana yang dicuri telah dipindahkan ke alamat baru. Alamat tersebut terlibat dalam beberapa rantai, dengan saldo saat ini sebesar 32,81 ETH. Jalur utama pengeluaran ETH mencakup transfer ke beberapa alamat, sebagian ditukarkan menjadi USDT, dan juga masuk ke bursa seperti Gate.
Alamat-alamat ekstensi ini terkait dengan pengiriman keluar selanjutnya dan beberapa platform perdagangan seperti Bybit, Cryptomus.com, Swapspace, Gate, MEXC, dan juga terkait dengan beberapa alamat yang ditandai sebagai Angel Drainer dan Theft. Sebagian ETH masih berada di suatu alamat.
Jejak transaksi USDT menunjukkan bahwa dana telah ditransfer ke platform seperti Binance, MEXC, FixedFloat.
Saran Keamanan
Serangan jenis ini menggabungkan teknik serangan rekayasa sosial dan serangan trojan, pengguna perlu lebih waspada. Disarankan untuk memverifikasi tautan rapat dengan cermat sebelum mengklik, hindari menjalankan perangkat lunak dan perintah yang berasal dari sumber yang tidak jelas, instal perangkat lunak antivirus dan perbarui secara berkala. Pengguna dapat merujuk pada manual keamanan terkait untuk meningkatkan kesadaran dan kemampuan perlindungan keamanan jaringan mereka.