Поддельные ссылки на Zoom-совещания вызвали массовую кражу Криптоактивов
В последнее время несколько пользователей сообщили о методе фишинга, маскирующегося под ссылку на конференцию Zoom. Один из жертв, кликнув на вредоносную ссылку и установив программное обеспечение, потерял криптоактивы на сумму до миллиона долларов. В ответ на это событие команда безопасности провела глубокий анализ и отслеживала движение средств хакеров.
Анализ фишинговых ссылок
Хакеры используют домены, похожие на "app.us4zoom.us", чтобы замаскироваться под нормальные ссылки Zoom-собраний. Страница сильно напоминает настоящий интерфейс Zoom-собрания, и когда пользователь нажимает кнопку "Запустить собрание", это приводит к загрузке злонамеренного установочного пакета, а не к запуску локального клиента Zoom.
В результате сканирования этого домена были обнаружены адреса журналов мониторинга хакеров. После расшифровки выяснилось, что это записи журналов попыток отправки сообщений через Telegram API, язык использования - русский. Этот сайт работает уже 27 дней, хакеры, вероятно, русские, и с 14 ноября начали искать цели для распространения вредоносного ПО, а затем через Telegram API отслеживают, нажимают ли цели кнопку загрузки на фишинговой странице.
Анализ вредоносного ПО
Имя вредоносного установочного пакета "ZoomApp_v.3.14.dmg". После открытия он будет诱导ить пользователя выполнить вредоносный скрипт ZoomApp.file в Terminal и запросит ввести пароль локального устройства.
После декодирования содержимого выполнения вредоносного файла было обнаружено, что это вредоносный скрипт osascript. Этот скрипт будет искать и запускать скрытый исполняемый файл с именем ".ZoomApp". При анализе диска оригинального установочного пакета действительно был обнаружен этот скрытый исполняемый файл.
Анализ вредоносного поведения
Статический анализ
Загрузите двоичный файл на платформу анализа угроз, он был помечен как вредоносный файл. С помощью статического дизассемблирования было обнаружено, что входной код используется для расшифровки данных и выполнения скриптов. Большая часть данных зашифрована и закодирована.
После расшифровки выяснилось, что этот двоичный файл в конечном итоге выполняет вредоносный скрипт osascript, который собирает информацию об устройстве пользователя и отправляет ее на сервер. Скрипт перечисляет различные пути ID плагинов, читает информацию из KeyChain компьютера, собирает системную информацию, данные браузера, данные о криптовалютных кошельках, данные Telegram, заметки из Notes и данные Cookie и др.
Собранная информация будет сжата и отправлена на сервер, контролируемый хакерами. Поскольку вредоносная программа во время работы вводит пользователя в заблуждение, заставляя его вводить пароль, и собирает данные KeyChain, хакеры могут получить учетные данные пользователя, такие как мнемоническая фраза для кошелька, приватные ключи и другую чувствительную информацию, в результате чего они могут похитить активы.
IP-адрес хакерского сервера находится в Нидерландах и был помечен как вредоносный на платформе разведки угроз.
 Динамический анализ
Виртуальная среда, динамически выполняющая этот вредоносный программный продукт и анализирующая процессы, наблюдала за информацией о мониторинге процессов, где вредоносная программа собирает данные с локального устройства и отправляет их на сервер.
![Убытки более 1 миллиона долларов, анализ фишинга на поддельной конференции Zoom]###https://img-cdn.gateio.im/webp-social/moments-a74d8f02307293227057b3f039293d08.webp(
Анализ движения средств
Анализируя хакерский адрес, предоставленный жертвой, выяснили, что хакер получил прибыль более 1 миллиона долларов США, включая USD0++, MORPHO и ETH. При этом USD0++ и MORPHO были обменены на 296 ETH.
Адрес хакера ранее получал небольшие переводы ETH, предположительно для оплаты комиссии. Адрес источника средств перевел небольшие суммы ETH почти на 8,800 адресов, возможно, это "платформа, специально предоставляющая комиссии".
296.45 ETH из украденных средств были переведены на новый адрес. Этот адрес связан с несколькими цепочками, текущий баланс составляет 32.81 ETH. Основные пути вывода ETH включают переводы на несколько адресов, часть обменена на USDT, а также переводы на биржи, такие как Gate.
Эти расширенные адреса связаны с выводами и несколькими торговыми платформами, такими как Bybit, Cryptomus.com, Swapspace, Gate, MEXC, и связаны с несколькими адресами, помеченными как Angel Drainer и Theft. Часть ETH все еще находится на каком-то адресе.
Следы транзакций USDT показывают, что средства были переведены на платформы Binance, MEXC, FixedFloat и другие.
![Убытки превышают 1 миллион долларов, анализ фишинга на поддельной Zoom-конференции])https://img-cdn.gateio.im/webp-social/moments-0b5f34d7d39eabead330a0794f137480.webp(
![Убытки превышают 1 миллион долларов, анализ фишинга на поддельной Zoom-конференции])ссылка
Рекомендации по безопасности
Этот тип атаки сочетает в себе методы социальной инженерии и технологии троянских атак, пользователям следует быть особенно осторожными. Рекомендуется тщательно проверять перед тем, как нажимать на ссылку для конференции, избегать выполнения программ и команд из ненадежных источников, устанавливать антивирусное программное обеспечение и регулярно обновлять его. Пользователи могут обратиться к соответствующим руководствам по безопасности, чтобы повысить свою осведомленность о кибербезопасности и защитные способности.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Лайков
Награда
8
4
Поделиться
комментарий
0/400
consensus_whisperer
· 10ч назад
Вот! Опять этот старый трюк.
Посмотреть ОригиналОтветить0
DegenRecoveryGroup
· 10ч назад
Налог на интеллект, что ж, кто заставил тебя нажать?
Посмотреть ОригиналОтветить0
DefiSecurityGuard
· 10ч назад
*вздох* ещё один день, ещё один вектор эксплуатации... классическая социальная инженерия через подделку домена. ngmi, если ты всё ещё попадаешься на это падение.
Поддельные ссылки Zoom вызвали миллионные кражи криптоактивов. Финансовые потоки хакеров раскрыты.
Поддельные ссылки на Zoom-совещания вызвали массовую кражу Криптоактивов
В последнее время несколько пользователей сообщили о методе фишинга, маскирующегося под ссылку на конференцию Zoom. Один из жертв, кликнув на вредоносную ссылку и установив программное обеспечение, потерял криптоактивы на сумму до миллиона долларов. В ответ на это событие команда безопасности провела глубокий анализ и отслеживала движение средств хакеров.
Анализ фишинговых ссылок
Хакеры используют домены, похожие на "app.us4zoom.us", чтобы замаскироваться под нормальные ссылки Zoom-собраний. Страница сильно напоминает настоящий интерфейс Zoom-собрания, и когда пользователь нажимает кнопку "Запустить собрание", это приводит к загрузке злонамеренного установочного пакета, а не к запуску локального клиента Zoom.
В результате сканирования этого домена были обнаружены адреса журналов мониторинга хакеров. После расшифровки выяснилось, что это записи журналов попыток отправки сообщений через Telegram API, язык использования - русский. Этот сайт работает уже 27 дней, хакеры, вероятно, русские, и с 14 ноября начали искать цели для распространения вредоносного ПО, а затем через Telegram API отслеживают, нажимают ли цели кнопку загрузки на фишинговой странице.
Анализ вредоносного ПО
Имя вредоносного установочного пакета "ZoomApp_v.3.14.dmg". После открытия он будет诱导ить пользователя выполнить вредоносный скрипт ZoomApp.file в Terminal и запросит ввести пароль локального устройства.
После декодирования содержимого выполнения вредоносного файла было обнаружено, что это вредоносный скрипт osascript. Этот скрипт будет искать и запускать скрытый исполняемый файл с именем ".ZoomApp". При анализе диска оригинального установочного пакета действительно был обнаружен этот скрытый исполняемый файл.
Анализ вредоносного поведения
Статический анализ
Загрузите двоичный файл на платформу анализа угроз, он был помечен как вредоносный файл. С помощью статического дизассемблирования было обнаружено, что входной код используется для расшифровки данных и выполнения скриптов. Большая часть данных зашифрована и закодирована.
После расшифровки выяснилось, что этот двоичный файл в конечном итоге выполняет вредоносный скрипт osascript, который собирает информацию об устройстве пользователя и отправляет ее на сервер. Скрипт перечисляет различные пути ID плагинов, читает информацию из KeyChain компьютера, собирает системную информацию, данные браузера, данные о криптовалютных кошельках, данные Telegram, заметки из Notes и данные Cookie и др.
Собранная информация будет сжата и отправлена на сервер, контролируемый хакерами. Поскольку вредоносная программа во время работы вводит пользователя в заблуждение, заставляя его вводить пароль, и собирает данные KeyChain, хакеры могут получить учетные данные пользователя, такие как мнемоническая фраза для кошелька, приватные ключи и другую чувствительную информацию, в результате чего они могут похитить активы.
IP-адрес хакерского сервера находится в Нидерландах и был помечен как вредоносный на платформе разведки угроз.
 Динамический анализ
Виртуальная среда, динамически выполняющая этот вредоносный программный продукт и анализирующая процессы, наблюдала за информацией о мониторинге процессов, где вредоносная программа собирает данные с локального устройства и отправляет их на сервер.
![Убытки более 1 миллиона долларов, анализ фишинга на поддельной конференции Zoom]###https://img-cdn.gateio.im/webp-social/moments-a74d8f02307293227057b3f039293d08.webp(
Анализ движения средств
Анализируя хакерский адрес, предоставленный жертвой, выяснили, что хакер получил прибыль более 1 миллиона долларов США, включая USD0++, MORPHO и ETH. При этом USD0++ и MORPHO были обменены на 296 ETH.
Адрес хакера ранее получал небольшие переводы ETH, предположительно для оплаты комиссии. Адрес источника средств перевел небольшие суммы ETH почти на 8,800 адресов, возможно, это "платформа, специально предоставляющая комиссии".
296.45 ETH из украденных средств были переведены на новый адрес. Этот адрес связан с несколькими цепочками, текущий баланс составляет 32.81 ETH. Основные пути вывода ETH включают переводы на несколько адресов, часть обменена на USDT, а также переводы на биржи, такие как Gate.
Эти расширенные адреса связаны с выводами и несколькими торговыми платформами, такими как Bybit, Cryptomus.com, Swapspace, Gate, MEXC, и связаны с несколькими адресами, помеченными как Angel Drainer и Theft. Часть ETH все еще находится на каком-то адресе.
Следы транзакций USDT показывают, что средства были переведены на платформы Binance, MEXC, FixedFloat и другие.
![Убытки превышают 1 миллион долларов, анализ фишинга на поддельной Zoom-конференции])https://img-cdn.gateio.im/webp-social/moments-0b5f34d7d39eabead330a0794f137480.webp(
![Убытки превышают 1 миллион долларов, анализ фишинга на поддельной Zoom-конференции])ссылка
Рекомендации по безопасности
Этот тип атаки сочетает в себе методы социальной инженерии и технологии троянских атак, пользователям следует быть особенно осторожными. Рекомендуется тщательно проверять перед тем, как нажимать на ссылку для конференции, избегать выполнения программ и команд из ненадежных источников, устанавливать антивирусное программное обеспечение и регулярно обновлять его. Пользователи могут обратиться к соответствующим руководствам по безопасности, чтобы повысить свою осведомленность о кибербезопасности и защитные способности.