Підроблені посилання на Zoom-зустрічі спричинили масові крадіжки криптоактивів
Нещодавно кілька користувачів повідомили про фішингову атаку, що маскується під посилання на Zoom-зустріч. Один з жертв, натиснувши на шкідливе посилання та встановивши програмне забезпечення, втратив свої криптоактиви на суму до мільйона доларів. У зв'язку з цим інцидентом команда безпеки провела глибокий аналіз і відстежила рух коштів хакерів.
Аналіз рибальських посилань
Хакери використовують доменні імена, схожі на "app.us4zoom.us", щоб маскуватися під звичайні посилання на Zoom конференції. Сторінка дуже схожа на справжній інтерфейс Zoom конференції, і коли користувач натискає кнопку "Запустити конференцію", це викликає завантаження шкідливого інсталяційного пакета, а не запуск локального клієнта Zoom.
Через сканування цього доменного імені було виявлено адресу журналу моніторингу хакерів. Після шифрування виявилося, що це журнал спроби відправити повідомлення через Telegram API, використовуючи російську мову. Цей сайт працює вже 27 днів, хакер, можливо, росіянин, і з 14 листопада почав шукати цілі для розповсюдження шкідливого програмного забезпечення, а потім через Telegram API моніторив, чи натискає ціль на кнопку завантаження фішингової сторінки.
Аналіз шкідливого ПЗ
Зловмисний файл пакета має назву "ZoomApp_v.3.14.dmg". Після відкриття він спонукає користувача виконати зловмисний скрипт ZoomApp.file у Terminal, і вимагає ввести пароль локального пристрою.
Після декодування вмісту виконання шкідливого файлу виявилося, що це шкідливий скрипт osascript. Цей скрипт шукає та запускає прихований виконуваний файл під назвою ".ZoomApp". Під час дискового аналізу оригінального пакету встановлення дійсно було виявлено цей прихований виконуваний файл.
Аналіз зловмисних дій
Статичний аналіз
Завантажте двійковий файл на платформу розвідки загроз для аналізу, він був позначений як шкідливий файл. За допомогою статичного дизасемблювання було виявлено, що вхідний код використовується для розшифрування даних та виконання скриптів. Більшість частини даних зашифрована та закодована.
Після декодування виявилося, що цей二进制 файл врешті-решт виконує шкідливий скрипт osascript, який збирає інформацію про пристрій користувача та надсилає її на задній план. Скрипт перераховує інформацію про різні шляхи ID плагінів, читає дані з KeyChain комп'ютера, збирає системну інформацію, дані браузера, дані шифрованого гаманця, дані Telegram, дані нотаток Notes та дані Cookie тощо.
Зібрана інформація буде стиснута та надіслана на сервер, контрольований хакерами. Оскільки шкідливе ПЗ спонукає користувачів вводити паролі під час роботи, та збирає дані KeyChain, хакери можуть отримати чутливу інформацію користувача, таку як мнемонічні фрази гаманця, приватні ключі тощо, що призведе до крадіжки активів.
IP-адреса хакерського сервера розташована в Нідерландах і була позначена платформою загроз як зловмисна.
Динамічний аналіз
У віртуальному середовищі динамічно виконується цей шкідливий програмний продукт та аналізується процес, помічено, що шкідлива програма збирає дані з локального комп'ютера та надсилає дані до фонової процесу моніторингу.
Аналіз руху капіталу
Аналізуючи хакерську адресу, надану жертвою, виявлено, що хакер отримав прибуток понад 1 мільйон доларів США, включаючи Криптоактиви USD0++, MORPHO та ETH. З них Криптоактиви USD0++ та MORPHO були обміняні на 296 ETH.
Хакерська адреса отримала невеликі перекази ETH, які, ймовірно, є оплатою комісії. Адреса джерела коштів переказала невеликі суми ETH приблизно до 8,800 адрес, що може свідчити про "спеціалізовану платформу для надання комісій".
Викрадені кошти в розмірі 296,45 ETH були переведені на нову адресу. Ця адреса пов'язана з кількома ланцюгами, а поточний баланс становить 32,81 ETH. Основні шляхи виведення ETH включають перекази на кілька адрес, часткову конверсію в USDT, а також надходження на біржі, такі як Gate.
Ці розширені адреси надалі пов'язані з декількома торговими платформами, такими як Bybit, Cryptomus.com, Swapspace, Gate, MEXC, та пов'язані з кількома адресами, поміченими як Angel Drainer та Theft. Частина ETH все ще залишається на певній адресі.
Торгові сліди USDT показують, що кошти були переведені на платформи Binance, MEXC, FixedFloat та інші.
Рекомендації з безпеки
Цей тип атаки поєднує в собі соціальну інженерію та технології атаки з використанням троянів, тому користувачам слід бути особливо обережними. Рекомендується уважно перевіряти перед натисканням на посилання конференції, уникати виконання програм і команд з невідомих джерел, встановлювати антивірусне програмне забезпечення та регулярно оновлювати його. Користувачі можуть ознайомитися з відповідними посібниками з безпеки, щоб підвищити свою обізнаність про кібербезпеку та захисні можливості.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 лайків
Нагородити
8
4
Поділіться
Прокоментувати
0/400
consensus_whisperer
· 10год тому
Типово! Знову цей старий трюк
Переглянути оригіналвідповісти на0
DegenRecoveryGroup
· 10год тому
Це податок на IQ, хто ж тебе змусив натискати?
Переглянути оригіналвідповісти на0
DefiSecurityGuard
· 10год тому
*сум* ще один день, ще один вектор експлуатації... класичне соціальне інженерство через спуфінг доменів. ngmi, якщо ви все ще падаєте на це
Підроблені посилання Zoom спричинили крадіжку Криптоактивів на мільйон доларів: фінансові потоки хакерів розкрито
Підроблені посилання на Zoom-зустрічі спричинили масові крадіжки криптоактивів
Нещодавно кілька користувачів повідомили про фішингову атаку, що маскується під посилання на Zoom-зустріч. Один з жертв, натиснувши на шкідливе посилання та встановивши програмне забезпечення, втратив свої криптоактиви на суму до мільйона доларів. У зв'язку з цим інцидентом команда безпеки провела глибокий аналіз і відстежила рух коштів хакерів.
Аналіз рибальських посилань
Хакери використовують доменні імена, схожі на "app.us4zoom.us", щоб маскуватися під звичайні посилання на Zoom конференції. Сторінка дуже схожа на справжній інтерфейс Zoom конференції, і коли користувач натискає кнопку "Запустити конференцію", це викликає завантаження шкідливого інсталяційного пакета, а не запуск локального клієнта Zoom.
Через сканування цього доменного імені було виявлено адресу журналу моніторингу хакерів. Після шифрування виявилося, що це журнал спроби відправити повідомлення через Telegram API, використовуючи російську мову. Цей сайт працює вже 27 днів, хакер, можливо, росіянин, і з 14 листопада почав шукати цілі для розповсюдження шкідливого програмного забезпечення, а потім через Telegram API моніторив, чи натискає ціль на кнопку завантаження фішингової сторінки.
Аналіз шкідливого ПЗ
Зловмисний файл пакета має назву "ZoomApp_v.3.14.dmg". Після відкриття він спонукає користувача виконати зловмисний скрипт ZoomApp.file у Terminal, і вимагає ввести пароль локального пристрою.
Після декодування вмісту виконання шкідливого файлу виявилося, що це шкідливий скрипт osascript. Цей скрипт шукає та запускає прихований виконуваний файл під назвою ".ZoomApp". Під час дискового аналізу оригінального пакету встановлення дійсно було виявлено цей прихований виконуваний файл.
Аналіз зловмисних дій
Статичний аналіз
Завантажте двійковий файл на платформу розвідки загроз для аналізу, він був позначений як шкідливий файл. За допомогою статичного дизасемблювання було виявлено, що вхідний код використовується для розшифрування даних та виконання скриптів. Більшість частини даних зашифрована та закодована.
Після декодування виявилося, що цей二进制 файл врешті-решт виконує шкідливий скрипт osascript, який збирає інформацію про пристрій користувача та надсилає її на задній план. Скрипт перераховує інформацію про різні шляхи ID плагінів, читає дані з KeyChain комп'ютера, збирає системну інформацію, дані браузера, дані шифрованого гаманця, дані Telegram, дані нотаток Notes та дані Cookie тощо.
Зібрана інформація буде стиснута та надіслана на сервер, контрольований хакерами. Оскільки шкідливе ПЗ спонукає користувачів вводити паролі під час роботи, та збирає дані KeyChain, хакери можуть отримати чутливу інформацію користувача, таку як мнемонічні фрази гаманця, приватні ключі тощо, що призведе до крадіжки активів.
IP-адреса хакерського сервера розташована в Нідерландах і була позначена платформою загроз як зловмисна.
Динамічний аналіз
У віртуальному середовищі динамічно виконується цей шкідливий програмний продукт та аналізується процес, помічено, що шкідлива програма збирає дані з локального комп'ютера та надсилає дані до фонової процесу моніторингу.
Аналіз руху капіталу
Аналізуючи хакерську адресу, надану жертвою, виявлено, що хакер отримав прибуток понад 1 мільйон доларів США, включаючи Криптоактиви USD0++, MORPHO та ETH. З них Криптоактиви USD0++ та MORPHO були обміняні на 296 ETH.
Хакерська адреса отримала невеликі перекази ETH, які, ймовірно, є оплатою комісії. Адреса джерела коштів переказала невеликі суми ETH приблизно до 8,800 адрес, що може свідчити про "спеціалізовану платформу для надання комісій".
Викрадені кошти в розмірі 296,45 ETH були переведені на нову адресу. Ця адреса пов'язана з кількома ланцюгами, а поточний баланс становить 32,81 ETH. Основні шляхи виведення ETH включають перекази на кілька адрес, часткову конверсію в USDT, а також надходження на біржі, такі як Gate.
Ці розширені адреси надалі пов'язані з декількома торговими платформами, такими як Bybit, Cryptomus.com, Swapspace, Gate, MEXC, та пов'язані з кількома адресами, поміченими як Angel Drainer та Theft. Частина ETH все ще залишається на певній адресі.
Торгові сліди USDT показують, що кошти були переведені на платформи Binance, MEXC, FixedFloat та інші.
Рекомендації з безпеки
Цей тип атаки поєднує в собі соціальну інженерію та технології атаки з використанням троянів, тому користувачам слід бути особливо обережними. Рекомендується уважно перевіряти перед натисканням на посилання конференції, уникати виконання програм і команд з невідомих джерел, встановлювати антивірусне програмне забезпечення та регулярно оновлювати його. Користувачі можуть ознайомитися з відповідними посібниками з безпеки, щоб підвищити свою обізнаність про кібербезпеку та захисні можливості.