La estafa de phishing en una reunión de Zoom causa pérdidas de millones de dólares, Profundidad en las técnicas de ataque.

Título original: "Lo que ves no es real | Análisis de phishing en reuniones falsas de Zoom"

Fuente original: Slow Mist Technology

Nota del editor: Recientemente, el mercado de criptomonedas ha visto un aumento en los incidentes de phishing utilizando enlaces falsos de reuniones de Zoom. Primero, el fundador de EurekaTrading, Kuan Sun, cayó en la trampa de una invitación a una reunión falsa y, tras instalar un complemento malicioso, sufrió un ataque de phishing por un valor de 13 millones de dólares. Afortunadamente, el protocolo Venus suspendió su funcionamiento de manera urgente y, con la ayuda de varios equipos de seguridad, finalmente logró recuperar los fondos.

El 8 de septiembre, Alexander Choi, fundador de la comunidad de criptocomercio Fortune Collective, también publicó que estableció contacto con proyectos fraudulentos a través de mensajes directos en la plataforma X, y al comunicarse, hizo clic por error en un enlace de fraude disfrazado de reunión, lo que resultó en una pérdida de casi 1 millón de dólares. ¿Por qué las estafas de phishing en Zoom siguen teniendo éxito? ¿Cómo pueden los inversores evitarlo para proteger la seguridad de sus fondos? Este artículo se publicó por primera vez el 27 de diciembre de 2024, el texto original es el siguiente:

####fondo

Recientemente, varios usuarios en X han informado sobre una técnica de phishing que se disfraza como un enlace de reunión de Zoom, donde una de las víctimas instaló malware al hacer clic en el enlace malicioso de la reunión de Zoom, lo que resultó en el robo de activos criptográficos, con pérdidas que alcanzan millones de dólares. En este contexto, el equipo de seguridad de Slow Fog ha analizado este tipo de incidentes de phishing y técnicas de ataque, y ha rastreado el flujo de fondos de los hackers.

()

####Análisis de enlaces de pesca

Los hackers utilizan dominios que parecen "app[.]us4zoom[.]us" para disfrazarse como enlaces normales de reuniones de Zoom; la página es altamente similar a una verdadera reunión de Zoom. Cuando los usuarios hacen clic en el botón "Iniciar reunión", se desencadena la descarga de un paquete de instalación malicioso, en lugar de iniciar el cliente local de Zoom.

A través de la exploración de los dominios mencionados, descubrimos la dirección del registro de monitoreo de los hackers (https[:]//app[.]us4zoom[.]us/error_log).

Se descubrió que esta es una entrada de registro cuando el script intenta enviar un mensaje a través de la API de Telegram, utilizando el idioma ruso.

El sitio se lanzó hace 27 días, los hackers podrían ser rusos, y desde el 14 de noviembre comenzaron a buscar objetivos para atacar, luego monitorearon a través de la API de Telegram si había objetivos que hicieran clic en el botón de descarga de la página de phishing.

####Análisis de malware

El nombre del archivo del paquete de instalación malicioso es "ZoomApp_v.3.14.dmg". A continuación se muestra la interfaz que abre este software de phishing de Zoom, que induce a los usuarios a ejecutar el script malicioso ZoomApp.file en Terminal, y durante el proceso de ejecución también se induce a los usuarios a ingresar la contraseña del sistema.

A continuación se presenta el contenido de ejecución de este archivo malicioso:

Después de decodificar el contenido anterior, se descubrió que se trata de un script malicioso de osascript.

Continuando con el análisis, se descubre que el script busca un archivo ejecutable oculto llamado «.ZoomApp» y lo ejecuta localmente. Realizamos un análisis del disco del paquete de instalación original «ZoomApp_v.3.14.dmg» y encontramos que el paquete de instalación realmente oculta un archivo ejecutable llamado «.ZoomApp».

####Análisis de comportamiento malicioso

#####Análisis estático

Subimos el archivo binario a la plataforma de inteligencia de amenazas para su análisis y descubrimos que el archivo ya ha sido marcado como malicioso.

()

A través del análisis de desensamblado estático, la imagen a continuación muestra el código de entrada de este archivo binario, utilizado para la desencriptación de datos y la ejecución de scripts.

La siguiente imagen muestra la parte de datos, donde se puede observar que la mayoría de la información ha sido encriptada y codificada.

Al descifrar los datos, se descubrió que este archivo binario también ejecuta un script malicioso de osascript (el código completo de descifrado se ha compartido en:

El código a continuación enumera parte de la información de la ruta de diferentes ID de plugins.

El siguiente código es una parte que lee la información del KeyChain de la computadora.

El código malicioso, después de recopilar información del sistema, datos del navegador, datos de la cartera de criptomonedas, datos de Telegram, datos de notas y datos de cookies, comprimirá esta información y la enviará a un servidor controlado por el hacker (141.98.9.20).

Debido a que el malware induce a los usuarios a ingresar sus contraseñas durante la ejecución, y los scripts maliciosos posteriores también recopilan datos de KeyChain en la computadora (que pueden incluir varias contraseñas que el usuario ha guardado en la computadora), los hackers, después de recopilar esta información, intentarán descifrar los datos para obtener las frases de recuperación de la billetera del usuario, las claves privadas y otra información sensible, lo que les permite robar los activos del usuario.

Según el análisis, la dirección IP del servidor del hacker se encuentra en los Países Bajos y ha sido marcada como maliciosa por plataformas de inteligencia de amenazas.

()

#####Análisis Dinámico

Ejecutar dinámicamente el programa malicioso en un entorno virtual y analizar el proceso, la siguiente imagen muestra la información de monitoreo del proceso en el que el programa malicioso recopila datos de la máquina local y envía datos al backend.

####Análisis de MistTrack

Utilizamos la herramienta de seguimiento en cadena MistTrack para analizar la dirección del hacker proporcionada por la víctima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: la dirección del hacker obtuvo ganancias de más de 1 millón de dólares, incluyendo USD0++, MORPHO y ETH; de los cuales, USD0++ y MORPHO fueron intercambiados por 296 ETH.

Según MistTrack, la dirección del hacker recibió pequeñas cantidades de ETH transferidas desde la dirección 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que se sospecha que son tarifas de transacción para la dirección del hacker. Esta dirección (0xb01c) tiene como única fuente de ingresos una dirección, pero ha transferido pequeñas cantidades de ETH a cerca de 8,800 direcciones, lo que parece ser una "plataforma dedicada a proporcionar tarifas de transacción".

Filtrar las direcciones marcadas como maliciosas en los objetos de salida de esta dirección (0xb01c), asociadas a dos direcciones de phishing, una de las cuales está marcada como Pink Drainer. Ampliar el análisis de estas dos direcciones de phishing, los fondos se transfieren principalmente a ChangeNOW y MEXC.

A continuación, se analiza la situación de la transferencia de fondos robados, un total de 296.45 ETH fueron transferidos a la nueva dirección 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

La primera transacción de la nueva dirección (0xdfe7) fue en julio de 2023, involucrando múltiples cadenas, y el saldo actual es de 32.81 ETH.

La principal ruta de salida de ETH para la nueva dirección (0xdfe7) es la siguiente:

0x19e0…5c98f

0x41a2…9c0b

intercambiar por 15,720 USDT

Gate

Las transacciones salientes de la dirección de expansión mencionada están asociadas con múltiples plataformas como Bybit, Cryptomus.com, Swapspace, Gate y MEXC, y están relacionadas con varias direcciones que han sido marcadas por MistTrack como Angel Drainer y Theft. Además, actualmente hay 99.96 ETH permaneciendo en la dirección 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

La huella de transacciones de USDT en la nueva dirección (0xdfe7) también es muy alta, habiéndose transferido a plataformas como Binance, MEXC y FixedFloat.

####resumen

El método de pesca compartido en esta ocasión es que los hackers se disfrazan de enlaces normales de reuniones de Zoom, induciendo a los usuarios a descargar y ejecutar software malicioso. El software malicioso suele tener múltiples funciones perjudiciales, como recopilar información del sistema, robar datos del navegador y obtener información de la billetera de criptomonedas, y transmite los datos a servidores controlados por hackers. Este tipo de ataque generalmente combina técnicas de ingeniería social y ataques de troyanos, y los usuarios pueden caer en la trampa con un pequeño descuido. El equipo de seguridad Slow Fog sugiere que los usuarios verifiquen cuidadosamente antes de hacer clic en los enlaces de las reuniones, eviten ejecutar software y comandos de origen desconocido, instalen software antivirus y lo actualicen regularmente. Para más conocimientos sobre seguridad, se recomienda leer el "Manual de autoayuda del bosque oscuro de blockchain" producido por el equipo de seguridad Slow Fog: