Liên kết giả mạo cuộc họp Zoom gây ra sự kiện trộm cắp Tài sản tiền điện tử quy mô lớn
Gần đây, nhiều người dùng đã báo cáo về một phương thức lừa đảo giả mạo liên kết cuộc họp Zoom. Một nạn nhân đã bị mất tài sản tiền điện tử lên đến hàng triệu đô la sau khi nhấp vào liên kết độc hại và cài đặt phần mềm. Để đối phó với sự kiện này, đội ngũ an ninh đã tiến hành phân tích sâu và theo dõi dòng tiền của hacker.
Phân tích liên kết lừa đảo
Tin tặc sử dụng các tên miền giống như "app.us4zoom.us" để giả mạo liên kết hội nghị Zoom bình thường. Trang này có giao diện rất giống với giao diện hội nghị Zoom thực, khi người dùng nhấp vào nút "Khởi động hội nghị", nó sẽ kích hoạt tải xuống gói cài đặt độc hại, thay vì khởi động ứng dụng Zoom cục bộ.
Thông qua việc phát hiện tên miền này, đã phát hiện địa chỉ nhật ký giám sát của hacker. Sau khi giải mã, phát hiện đây là nhật ký ghi lại việc cố gắng gửi tin nhắn qua API Telegram, ngôn ngữ sử dụng là tiếng Nga. Trang web này đã được triển khai trong 27 ngày, hacker có thể là người Nga và bắt đầu tìm kiếm mục tiêu để phát tán phần mềm độc hại từ ngày 14 tháng 11, sau đó thông qua API Telegram giám sát xem mục tiêu có nhấp vào nút tải xuống trên trang lừa đảo hay không.
Phân tích phần mềm độc hại
Tên tệp cài đặt độc hại là "ZoomApp_v.3.14.dmg". Khi mở, nó sẽ dụ dỗ người dùng thực hiện tập lệnh độc hại ZoomApp.file trong Terminal và yêu cầu nhập mật khẩu máy.
Sau khi giải mã nội dung thực thi của tệp độc hại, phát hiện đây là một kịch bản osascript độc hại. Kịch bản này sẽ tìm kiếm và chạy một tệp thực thi ẩn có tên "ZoomApp". Phân tích đĩa của gói cài đặt gốc, thực sự đã phát hiện ra tệp thực thi ẩn này.
Phân tích hành vi xấu
Phân tích tĩnh
Tải tệp nhị phân lên nền tảng phân tích thông tin đe dọa, đã được đánh dấu là tệp độc hại. Qua phân tích phản biện tĩnh, phát hiện mã nhập được sử dụng để giải mã dữ liệu và thực thi kịch bản. Phần dữ liệu chủ yếu đã được mã hóa và mã hóa.
Giải mã xong phát hiện, tệp nhị phân này cuối cùng thực thi một kịch bản osascript độc hại, kịch bản này sẽ thu thập thông tin thiết bị người dùng và gửi về máy chủ. Kịch bản sẽ liệt kê thông tin đường dẫn ID các plugin khác nhau, đọc thông tin KeyChain của máy tính, thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví tiền mã hóa, dữ liệu Telegram, dữ liệu ghi chú Notes và dữ liệu Cookie, v.v.
Thông tin được thu thập sẽ bị nén và gửi đến máy chủ do hacker kiểm soát. Do phần mềm độc hại dụ dỗ người dùng nhập mật khẩu khi đang chạy, và thu thập dữ liệu KeyChain, hacker có thể nhận được cụm từ khôi phục ví, khóa riêng và các thông tin nhạy cảm khác của người dùng, từ đó đánh cắp tài sản.
Địa chỉ IP của máy chủ hacker nằm ở Hà Lan, đã được nền tảng thông tin đe dọa đánh dấu là độc hại.
Phân tích động
Trong môi trường ảo, thực thi động chương trình độc hại này và phân tích tiến trình, quan sát thấy chương trình độc hại thu thập dữ liệu từ máy và gửi dữ liệu đến thông tin giám sát tiến trình ở phía sau.
Phân tích dòng tiền
Phân tích địa chỉ hacker mà nạn nhân cung cấp cho thấy, hacker đã thu lợi hơn 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH. Trong đó, USD0++ và MORPHO đã được đổi thành 296 ETH.
Địa chỉ hacker đã nhận được chuyển khoản ETH nhỏ, nghi ngờ là để cung cấp phí giao dịch. Địa chỉ nguồn vốn đã chuyển ra ETH nhỏ đến gần 8,800 địa chỉ, có thể là một "nền tảng chuyên cung cấp phí giao dịch".
296.45 ETH trong số tiền bị đánh cắp đã được chuyển đến địa chỉ mới. Địa chỉ này liên quan đến nhiều chuỗi, hiện có số dư là 32.81 ETH. Các đường dẫn chính của ETH chuyển ra bao gồm chuyển khoản đến nhiều địa chỉ, một phần được đổi thành USDT, và chuyển vào các sàn giao dịch như Gate.
Các địa chỉ mở rộng này có liên quan đến việc chuyển tiền ra sau này với nhiều nền tảng giao dịch như Bybit, Cryptomus.com, Swapspace, Gate, MEXC, và liên quan đến nhiều địa chỉ được đánh dấu là Angel Drainer và Theft. Một phần ETH vẫn đang ở lại một địa chỉ nào đó.
Dấu vết giao dịch USDT cho thấy, tiền đã được chuyển ra các nền tảng như Binance, MEXC, FixedFloat.
Gợi ý an toàn
Các cuộc tấn công này kết hợp giữa tấn công kỹ thuật xã hội và kỹ thuật tấn công trojan, người dùng cần đặc biệt cẩn trọng. Đề xuất kiểm tra kỹ lưỡng trước khi nhấp vào liên kết cuộc họp, tránh thực hiện các phần mềm và lệnh không rõ nguồn gốc, cài đặt phần mềm diệt virus và cập nhật thường xuyên. Người dùng có thể tham khảo các tài liệu an ninh liên quan để nâng cao nhận thức và khả năng bảo vệ an ninh mạng của bản thân.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 thích
Phần thưởng
8
4
Chia sẻ
Bình luận
0/400
consensus_whisperer
· 5giờ trước
Điển! Lại là trò cũ này.
Xem bản gốcTrả lời0
DegenRecoveryGroup
· 5giờ trước
Thuế IQ thì sao, ai bảo bạn nhấp vào.
Xem bản gốcTrả lời0
DefiSecurityGuard
· 5giờ trước
*thở dài* một ngày nữa, một vector khai thác nữa... kỹ thuật xã hội cổ điển qua việc giả mạo tên miền. ngmi nếu bạn vẫn còn giảm cho những điều này
Liên kết giả mạo Zoom dẫn đến vụ trộm tài sản tiền điện tử trị giá triệu đô la. Hacker资金流向曝光.
Liên kết giả mạo cuộc họp Zoom gây ra sự kiện trộm cắp Tài sản tiền điện tử quy mô lớn
Gần đây, nhiều người dùng đã báo cáo về một phương thức lừa đảo giả mạo liên kết cuộc họp Zoom. Một nạn nhân đã bị mất tài sản tiền điện tử lên đến hàng triệu đô la sau khi nhấp vào liên kết độc hại và cài đặt phần mềm. Để đối phó với sự kiện này, đội ngũ an ninh đã tiến hành phân tích sâu và theo dõi dòng tiền của hacker.
Phân tích liên kết lừa đảo
Tin tặc sử dụng các tên miền giống như "app.us4zoom.us" để giả mạo liên kết hội nghị Zoom bình thường. Trang này có giao diện rất giống với giao diện hội nghị Zoom thực, khi người dùng nhấp vào nút "Khởi động hội nghị", nó sẽ kích hoạt tải xuống gói cài đặt độc hại, thay vì khởi động ứng dụng Zoom cục bộ.
Thông qua việc phát hiện tên miền này, đã phát hiện địa chỉ nhật ký giám sát của hacker. Sau khi giải mã, phát hiện đây là nhật ký ghi lại việc cố gắng gửi tin nhắn qua API Telegram, ngôn ngữ sử dụng là tiếng Nga. Trang web này đã được triển khai trong 27 ngày, hacker có thể là người Nga và bắt đầu tìm kiếm mục tiêu để phát tán phần mềm độc hại từ ngày 14 tháng 11, sau đó thông qua API Telegram giám sát xem mục tiêu có nhấp vào nút tải xuống trên trang lừa đảo hay không.
Phân tích phần mềm độc hại
Tên tệp cài đặt độc hại là "ZoomApp_v.3.14.dmg". Khi mở, nó sẽ dụ dỗ người dùng thực hiện tập lệnh độc hại ZoomApp.file trong Terminal và yêu cầu nhập mật khẩu máy.
Sau khi giải mã nội dung thực thi của tệp độc hại, phát hiện đây là một kịch bản osascript độc hại. Kịch bản này sẽ tìm kiếm và chạy một tệp thực thi ẩn có tên "ZoomApp". Phân tích đĩa của gói cài đặt gốc, thực sự đã phát hiện ra tệp thực thi ẩn này.
Phân tích hành vi xấu
Phân tích tĩnh
Tải tệp nhị phân lên nền tảng phân tích thông tin đe dọa, đã được đánh dấu là tệp độc hại. Qua phân tích phản biện tĩnh, phát hiện mã nhập được sử dụng để giải mã dữ liệu và thực thi kịch bản. Phần dữ liệu chủ yếu đã được mã hóa và mã hóa.
Giải mã xong phát hiện, tệp nhị phân này cuối cùng thực thi một kịch bản osascript độc hại, kịch bản này sẽ thu thập thông tin thiết bị người dùng và gửi về máy chủ. Kịch bản sẽ liệt kê thông tin đường dẫn ID các plugin khác nhau, đọc thông tin KeyChain của máy tính, thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví tiền mã hóa, dữ liệu Telegram, dữ liệu ghi chú Notes và dữ liệu Cookie, v.v.
Thông tin được thu thập sẽ bị nén và gửi đến máy chủ do hacker kiểm soát. Do phần mềm độc hại dụ dỗ người dùng nhập mật khẩu khi đang chạy, và thu thập dữ liệu KeyChain, hacker có thể nhận được cụm từ khôi phục ví, khóa riêng và các thông tin nhạy cảm khác của người dùng, từ đó đánh cắp tài sản.
Địa chỉ IP của máy chủ hacker nằm ở Hà Lan, đã được nền tảng thông tin đe dọa đánh dấu là độc hại.
Phân tích động
Trong môi trường ảo, thực thi động chương trình độc hại này và phân tích tiến trình, quan sát thấy chương trình độc hại thu thập dữ liệu từ máy và gửi dữ liệu đến thông tin giám sát tiến trình ở phía sau.
Phân tích dòng tiền
Phân tích địa chỉ hacker mà nạn nhân cung cấp cho thấy, hacker đã thu lợi hơn 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH. Trong đó, USD0++ và MORPHO đã được đổi thành 296 ETH.
Địa chỉ hacker đã nhận được chuyển khoản ETH nhỏ, nghi ngờ là để cung cấp phí giao dịch. Địa chỉ nguồn vốn đã chuyển ra ETH nhỏ đến gần 8,800 địa chỉ, có thể là một "nền tảng chuyên cung cấp phí giao dịch".
296.45 ETH trong số tiền bị đánh cắp đã được chuyển đến địa chỉ mới. Địa chỉ này liên quan đến nhiều chuỗi, hiện có số dư là 32.81 ETH. Các đường dẫn chính của ETH chuyển ra bao gồm chuyển khoản đến nhiều địa chỉ, một phần được đổi thành USDT, và chuyển vào các sàn giao dịch như Gate.
Các địa chỉ mở rộng này có liên quan đến việc chuyển tiền ra sau này với nhiều nền tảng giao dịch như Bybit, Cryptomus.com, Swapspace, Gate, MEXC, và liên quan đến nhiều địa chỉ được đánh dấu là Angel Drainer và Theft. Một phần ETH vẫn đang ở lại một địa chỉ nào đó.
Dấu vết giao dịch USDT cho thấy, tiền đã được chuyển ra các nền tảng như Binance, MEXC, FixedFloat.
Gợi ý an toàn
Các cuộc tấn công này kết hợp giữa tấn công kỹ thuật xã hội và kỹ thuật tấn công trojan, người dùng cần đặc biệt cẩn trọng. Đề xuất kiểm tra kỹ lưỡng trước khi nhấp vào liên kết cuộc họp, tránh thực hiện các phần mềm và lệnh không rõ nguồn gốc, cài đặt phần mềm diệt virus và cập nhật thường xuyên. Người dùng có thể tham khảo các tài liệu an ninh liên quan để nâng cao nhận thức và khả năng bảo vệ an ninh mạng của bản thân.