Des pertes de millions de dollars dues à une tentative de phishing lors d'une réunion Zoom, analyse approfondie des techniques d'attaque.

Titre original : « Ce que l'on voit n'est pas réel | Analyse de phishing par de fausses réunions Zoom »

Source originale : Slow Fog Technology

Éditeur : Récemment, le marché des cryptomonnaies a de nouveau connu une augmentation des incidents de phishing utilisant des liens de réunions Zoom falsifiés. D'abord, Kuan Sun, le fondateur d'EurekaTrading, a été victime d'une attaque de phishing d'une valeur de 13 millions de dollars après avoir cru à une invitation à une fausse réunion et installé un plugin malveillant. Heureusement, le protocole Venus a suspendu son fonctionnement d'urgence et, avec l'aide de plusieurs équipes de sécurité, a finalement réussi à récupérer les fonds.

Le 8 septembre, Alexander Choi, fondateur de la communauté de trading crypto Fortune Collective, a également publié un message révélant qu'il avait établi un contact avec un projet frauduleux dans des messages privés sur la plateforme X. En communiquant, il a accidentellement cliqué sur un lien de phishing déguisé en réunion, entraînant une perte d'environ 1 million de dollars. Pourquoi les escroqueries par des réunions Zoom frauduleuses réussissent-elles si souvent ? Comment les investisseurs peuvent-ils éviter cela pour protéger la sécurité de leurs fonds ? Cet article a été publié pour la première fois le 27 décembre 2024, le texte original est le suivant :

####arrière-plan

Récemment, plusieurs utilisateurs sur X ont signalé une méthode de phishing se faisant passer pour un lien de réunion Zoom. L'un des victimes, après avoir cliqué sur le lien malveillant de la réunion Zoom, a installé un logiciel malveillant, entraînant le vol d'actifs cryptographiques, avec des pertes s'élevant à des millions de dollars. Dans ce contexte, l'équipe de sécurité Slow Mist a analysé ce type d'incidents de phishing et de méthodes d'attaque, et a suivi le flux de fonds des hackers.

()

####Analyse des liens de phishing

Des hackers utilisent des noms de domaine tels que « app[.]us4zoom[.]us » pour se faire passer pour de véritables liens de réunion Zoom. La page est très similaire à une vraie réunion Zoom, et lorsque l'utilisateur clique sur le bouton « Démarrer la réunion », cela déclenche le téléchargement d'un package d'installation malveillant, au lieu de lancer le client Zoom local.

Grâce à l'exploration des noms de domaine ci-dessus, nous avons découvert l'adresse des journaux de surveillance des hackers (https[:]//app[.]us4zoom[.]us/error_log).

La décryption révèle qu'il s'agit d'une entrée de journal lors de la tentative d'envoi d'un message via l'API Telegram, en utilisant la langue russe.

Ce site a été mis en ligne il y a 27 jours. Les hackers pourraient être russes et ont commencé à cibler des victimes le 14 novembre, puis ont surveillé via l'API Telegram si des cibles cliquaient sur le bouton de téléchargement de la page de phishing.

####Analyse des logiciels malveillants

Le nom du fichier de ce paquet d'installation malveillant est « ZoomApp_v.3.14.dmg ». Voici l'interface de ce logiciel de phishing Zoom, qui incite les utilisateurs à exécuter le script malveillant ZoomApp.file dans le Terminal, et au cours de l'exécution, il incite également les utilisateurs à entrer le mot de passe de leur machine.

Voici le contenu d'exécution de ce fichier malveillant :

Après avoir décodé le contenu ci-dessus, il s'avère que s'agit d'un script osascript malveillant.

L'analyse continue révèle que ce script recherche un fichier exécutable caché nommé « .ZoomApp » et l'exécute localement. Nous avons effectué une analyse du disque sur le package d'installation d'origine « ZoomApp_v.3.14.dmg » et avons découvert que le package cachait effectivement un fichier exécutable nommé « .ZoomApp ».

####Analyse des comportements malveillants

#####Analyse statique

Nous avons téléchargé ce fichier binaire sur la plateforme d'intelligence sur les menaces pour analyse, et avons découvert que ce fichier a déjà été marqué comme malveillant.

()

L'analyse par désassemblage statique montre que le code d'entrée de ce fichier binaire, illustré ci-dessous, est utilisé pour le déchiffrement des données et l'exécution de scripts.

L'image ci-dessous montre la partie des données, où l'on peut constater que la plupart des informations ont été cryptées et codées.

En décryptant les données, il a été découvert que ce fichier binaire exécute également le script malveillant osascript (le code de décryptage complet a été partagé :

Le code ci-dessous énumère une partie des informations de chemin d'ID de différents plugins.

Le code ci-dessous est une partie du code pour lire les informations du KeyChain de l'ordinateur.

Après avoir collecté des informations système, des données de navigateur, des données de portefeuille cryptographique, des données Telegram, des données de Notes et des données de Cookies, le code malveillant les compresse et les envoie vers un serveur contrôlé par des hackers (141.98.9.20).

En raison de l'incitation des logiciels malveillants à faire entrer un mot de passe pendant leur exécution, et des scripts malveillants ultérieurs qui collectent également les données de KeyChain sur l'ordinateur (qui peuvent contenir divers mots de passe enregistrés par l'utilisateur sur l'ordinateur), les hackers, après avoir collecté ces données, essaieront de les déchiffrer pour obtenir les phrases de récupération de portefeuille, les clés privées et d'autres informations sensibles, permettant ainsi de voler les actifs de l'utilisateur.

Selon l'analyse, l'adresse IP du serveur des hackers est située aux Pays-Bas et a été marquée comme malveillante par une plateforme de renseignement sur les menaces.

()

#####Analyse dynamique

Exécutez dynamiquement ce programme malveillant dans un environnement virtuel et analysez les processus. L'image ci-dessous montre les informations de surveillance des processus de collecte des données de la machine locale et d'envoi des données vers le backend.

####Analyse de MistTrack

Nous utilisons l'outil de suivi en chaîne MistTrack pour analyser l'adresse de hacker fournie par la victime 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac : l'adresse du hacker a généré des bénéfices de plus de 1 million de dollars, y compris USD0++, MORPHO et ETH ; parmi ceux-ci, USD0++ et MORPHO ont été échangés contre 296 ETH.

Selon MistTrack, l'adresse du hacker a reçu de petits montants d'ETH transférés depuis l'adresse 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, soupçonnés de servir à financer des frais de transaction pour l'adresse du hacker. Cette adresse (0xb01c) ne reçoit des fonds que d'une seule adresse, mais transfère de petits montants d'ETH vers près de 8 800 adresses, semblant ainsi constituer une « plateforme dédiée aux frais de transaction ».

Filtrer les adresses sortantes de cette adresse (0xb01c) marquées comme malveillantes, associées à deux adresses de phishing, dont l'une est marquée comme Pink Drainer, analyser plus en détail ces deux adresses de phishing, les fonds étant principalement transférés vers ChangeNOW et MEXC.

Ensuite, analysons la situation des fonds volés transférés, un total de 296,45 ETH a été transféré vers la nouvelle adresse 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

La première transaction de la nouvelle adresse (0xdfe7) a eu lieu en juillet 2023, impliquant plusieurs chaînes, et le solde actuel est de 32,81 ETH.

Le chemin principal de sortie d'ETH pour la nouvelle adresse (0xdfe7) est le suivant :

0x19e0…5c98f

0x41a2…9c0b

échangé contre 15 720 USDT

Gate

Les sorties futures des adresses étendues ci-dessus sont liées à plusieurs plateformes telles que Bybit, Cryptomus.com, Swapspace, Gate, MEXC, et sont également associées à plusieurs adresses marquées par MistTrack comme Angel Drainer et Theft. En outre, 99,96 ETH sont actuellement bloqués à l'adresse 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Les traces de transactions USDT sur la nouvelle adresse (0xdfe7) sont également très nombreuses, ayant été transférées vers des plateformes telles que Binance, MEXC, FixedFloat.

####résumé

La méthode de phishing partagée cette fois-ci consiste à ce que des hackers se déguisent en liens de réunion Zoom normaux, incitant les utilisateurs à télécharger et exécuter des logiciels malveillants. Les logiciels malveillants possèdent généralement plusieurs fonctions nuisibles, telles que la collecte d'informations système, le vol de données de navigateur et l'acquisition d'informations sur les portefeuilles de cryptomonnaie, et transmettent les données à des serveurs contrôlés par des hackers. Ce type d'attaque combine généralement des techniques d'ingénierie sociale et des attaques par cheval de Troie, et les utilisateurs peuvent facilement tomber dans le piège par inadvertance. L'équipe de sécurité SlowMist recommande aux utilisateurs de vérifier attentivement avant de cliquer sur les liens de réunion, d'éviter d'exécuter des logiciels et des commandes d'origine inconnue, d'installer des logiciels antivirus et de les mettre à jour régulièrement. Pour plus de conseils en matière de sécurité, il est conseillé de lire le "Manuel de survie dans la forêt sombre de la blockchain" produit par l'équipe de sécurité SlowMist :