خسائر بملايين الدولارات بسبب هجوم تصيد عبر اجتماع زووم مزيف، العمق في تحليل أساليب الهجوم

العنوان الأصلي: "ما تراه ليس كما يبدو｜تحليل احتيال مؤتمر زوم المزيف"

المصدر الأصلي: تكنولوجيا سلاسل البلوك

محرر: في الآونة الأخيرة، ظهرت في سوق العملات المشفرة مرة أخرى حوادث تصيد باستخدام روابط مزورة لاجتماعات Zoom. أولاً، تعرض مؤسس EurekaTrading كوان صن لعملية تصيد بقيمة 13 مليون دولار بعد أن وثق بدعوة اجتماع مزيفة وقام بتثبيت مكون إضافي ضار. لحسن الحظ، قامت بروتوكول فينوس بإيقاف التشغيل بشكل عاجل، وبمساعدة عدة فرق أمان، تمكنوا في النهاية من استرداد الأموال.

في 8 سبتمبر، كتب ألكسندر تشوي، مؤسس مجتمع تداول العملات المشفرة Fortune Collective، منشورًا يكشف فيه أنه أقام اتصالًا مع مشروع زائف عبر الرسائل المباشرة على منصة X، وأدى النقر عن طريق الخطأ على رابط احتيالي متخفي كاجتماع إلى خسارة تقارب مليون دولار. لماذا تنجح عمليات الاحتيال عبر مؤتمرات Zoom الزائفة مرارًا وتكرارًا؟ كيف يمكن للمستثمرين تجنب ذلك لحماية أموالهم؟ تم نشر هذا المقال لأول مرة في 27 ديسمبر 2024، والنص الأصلي هو كما يلي:

####خلفية

مؤخراً، أبلغ العديد من المستخدمين على X عن أسلوب هجوم تصيّد يتظاهر بأنه رابط اجتماع Zoom، حيث قام أحد الضحايا بعد النقر على الرابط الخبيث لاجتماع Zoom بتثبيت برنامج ضار، مما أدى إلى سرقة الأصول المشفرة، وتجاوزت الخسائر مليون دولار. في هذا السياق، قامت فريق أمان Slow Fog بتحليل هذه الحوادث وأساليب الهجوم، وتتبعت مسارات أموال القراصنة.

!

()

####تحليل روابط الصيد

قام القراصنة باستخدام أسماء نطاقات تشبه "app[.]us4zoom[.]us" لتزوير روابط اجتماعات Zoom العادية، حيث أن الصفحة تشبه بشكل كبير اجتماع Zoom الحقيقي، وعندما ينقر المستخدم على زر "بدء الاجتماع"، يتم تفعيل تحميل حزمة تثبيت خبيثة، بدلاً من بدء عميل Zoom المحلي.

!

من خلال استكشاف أسماء النطاقات المذكورة أعلاه ، اكتشفنا عنوان سجل مراقبة المخترق (https[:]//app[.]us4zoom[.]us/error_log).

!

تم الكشف عن ذلك، هذه إدخال سجل عندما حاول البرنامج النصي إرسال رسالة عبر Telegram API، وكانت اللغة المستخدمة هي الروسية.

!

تم إطلاق هذا الموقع قبل 27 يومًا، ويحتمل أن يكون القراصنة من روسيا، وقد بدأوا منذ 14 نوفمبر في البحث عن أهداف لاستهدافها، ثم قاموا بمراقبة ما إذا كانت هناك أهداف تنقر على زر تنزيل صفحة التصيد عبر واجهة برمجة تطبيقات Telegram.

!

####تحليل البرمجيات الخبيثة

اسم حزمة التثبيت الضارة هو "ZoomApp_v.3.14.dmg"، وفيما يلي واجهة برنامج Zoom الاحتيالي الذي يفتح، مما يحفز المستخدم على تنفيذ البرنامج الضار ZoomApp.file في Terminal، وأثناء عملية التنفيذ، سيتم تحفيز المستخدم أيضًا لإدخال كلمة مرور الجهاز.

!

فيما يلي محتوى تنفيذ هذا الملف الضار:

!

بعد فك تشفير المحتوى أعلاه، تم اكتشاف أنه نص برمجي خبيث من نوع osascript.

!

استمر التحليل وكشف أن السكربت يبحث عن ملف تنفيذي مخفي باسم «.ZoomApp» ويقوم بتشغيله محليًا. قمنا بتحليل القرص لحزمة التثبيت الأصلية «ZoomApp_v.3.14.dmg» واكتشفنا أن حزمة التثبيت تحتوي بالفعل على ملف تنفيذي مخفي باسم «.ZoomApp».

!

####تحليل السلوك الخبيث

#####التحليل الثابت

قمنا بتحميل هذا الملف الثنائي إلى منصة تحليل معلومات التهديدات، واكتشفنا أن هذا الملف قد تم وضع علامة عليه كملف ضار.

!

()

من خلال التحليل الثابت للتفكيك، الصورة أدناه هي كود الإدخال لهذا الملف الثنائي، المستخدم لفك تشفير البيانات وتنفيذ السكريبت.

!

توضح الصورة أدناه الجزء الخاص بالبيانات، ويمكن ملاحظة أن معظم المعلومات قد تم تشفيرها وترميزها.

!

من خلال فك تشفير البيانات، تم اكتشاف أن هذا الملف الثنائي ينفذ في النهاية أيضًا نصوص osascript الضارة (تم مشاركة الكود الكامل لفك التشفير:

فيما يلي جزء من الشفرة الذي يوضح معلومات مسار معرفات المكونات المختلفة.

!

فيما يلي جزء من الكود لقراءة معلومات KeyChain على الكمبيوتر.

!

بعد جمع معلومات النظام، بيانات المتصفح، بيانات المحفظة المشفرة، بيانات تيليجرام، بيانات الملاحظات وبيانات الكوكيز بواسطة البرمجيات الخبيثة، سيتم ضغطها وإرسالها إلى الخادم الذي يتحكم فيه الهاكر (141.98.9.20).

!

نظرًا لأن البرامج الضارة تحث المستخدمين على إدخال كلمات المرور أثناء التشغيل، وأن النصوص الضارة اللاحقة ستجمع أيضًا بيانات KeyChain على الكمبيوتر (والتي قد تحتوي على كلمات مرور متنوعة محفوظة على الكمبيوتر)، سيقوم المتسللون بجمع هذه البيانات ومحاولة فك تشفيرها للحصول على عبارة استرداد المحفظة، والمفاتيح الخاصة، وغيرها من المعلومات الحساسة، مما يؤدي إلى سرقة أصول المستخدم.

وفقًا للتحليل، فإن عنوان IP لخادم القراصنة يقع في هولندا، وقد تم تصنيفه حاليًا على أنه ضار من قبل منصة معلومات التهديدات.

!

()

#####التحليل الديناميكي

تنفيذ هذا البرنامج الضار ديناميكيًا في بيئة افتراضية وتحليل العملية ، الصورة أدناه هي معلومات مراقبة العمليات لجمع بيانات الجهاز المحلي وإرسال البيانات إلى الخادم الخلفي.

!

!

####تحليل MistTrack

نحن نستخدم أداة تتبع على السلسلة MistTrack لتحليل عنوان القراصنة الذي قدمه الضحية 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: حقق عنوان القراصنة أرباحاً تتجاوز مليون دولار، بما في ذلك USD0++ و MORPHO و ETH؛ من بينها، تم تحويل USD0++ و MORPHO إلى 296 ETH.

! [](https://img-cdn.gateio.im/webp-social/moments-7254184605df88e7e50fb45884f3ca7d.webp019283746574839201

وفقًا لـ MistTrack، تلقت عنوان القراصنة تحويلات صغيرة من عنوان 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e، ويُشتبه في أنها أموال لتغطية رسوم القراصنة. مصدر الدخل لهذا العنوان (0xb01c) هو فقط عنوان واحد، لكنه قام بتحويل مبالغ صغيرة من ETH إلى ما يقرب من 8,800 عنوان، مما يبدو أنه "منصة مخصصة لتوفير الرسوم".

! [])https://img-cdn.gateio.im/webp-social/moments-f1e351ebca6b9b5ca29e168e8b5112da.webp(

تصفية العنوان (0xb01c) من عناوين الإخراج المميزة بأنها خبيثة، وترتبط بعناوين تصيد، أحدها مميز باسم Pink Drainer، تحليل موسع لهذين العنوانين للتصيد، حيث يتم تحويل الأموال بشكل أساسي إلى ChangeNOW و MEXC.

! [])https://img-cdn.gateio.im/webp-social/moments-54f1a89764578f094658d6c452112bba.webp(

ثم تحليل تحويل الأموال المسروقة، حيث تم نقل 296.45 ETH إلى عنوان جديد 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

! [])https://img-cdn.gateio.im/webp-social/moments-75d39f84140e9f0bba84c47e54e730d0.webp019283746574839201

تمت أول عملية تداول للعنوان الجديد (0xdfe7) في يوليو 2023، والتي تشمل عدة سلاسل، والرصيد الحالي هو 32.81 ETH.

!

مسار تحويل ETH الرئيسي للعناوين الجديدة (0xdfe7) هو كما يلي:

· 200.79 ETH -> 0x19e0... 5C98F

· 63.03 ETH -> 0x41a2... 9 ج0 ب

تحويل إلى 15,720 USDT

· 14.39 بوابة ETH ->

!

العناوين الموسعة المذكورة أعلاه مرتبطة بالتحويلات القادمة إلى منصات متعددة مثل Bybit و Cryptomus.com و Swapspace و Gate و MEXC، كما أنها مرتبطة بالعديد من العناوين التي تم وضع علامة عليها بواسطة MistTrack كـ Angel Drainer و Theft. بالإضافة إلى ذلك، هناك حالياً 99.96 ETH متبقية في العنوان 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

!

تمتلك معاملات USDT على العنوان الجديد (0xdfe7) العديد من الأدلة، وتم تحويلها إلى منصات مثل Binance و MEXC و FixedFloat.

!

( ملخص

تتمثل طريقة الاحتيال التي تمت مشاركتها في أن القراصنة يتنكرون كرابط اجتماع عادي على Zoom، مما يحفز المستخدمين على تنزيل وتنفيذ البرامج الضارة. عادة ما تحتوي البرامج الضارة على وظائف ضارة متعددة مثل جمع معلومات النظام، وسرقة بيانات المتصفح، والحصول على معلومات محفظة العملات المشفرة، وتنقل البيانات إلى خوادم يسيطر عليها القراصنة. غالبًا ما تجمع هذه الأنواع من الهجمات بين هجمات الهندسة الاجتماعية وتقنيات هجوم البرمجيات الضارة، حيث يمكن أن يقع المستخدم في الفخ بتسرع بسيط. توصي فريق أمان Slow Mist المستخدمين بالتحقق بعناية قبل النقر على روابط الاجتماعات، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر، وتثبيت برامج مكافحة الفيروسات وتحديثها بانتظام. للحصول على مزيد من المعرفة الأمنية، يوصى بقراءة "دليل إنقاذ الغابة المظلمة في البلوك تشين" الذي أعدته فريق أمان Slow Mist: