Zoom meeting phishing menyebabkan kerugian jutaan dolar, Kedalaman menyelidiki metode serangan

Judul Asli: "Melihat Bukan Berarti Nyata | Analisis Phishing Rapat Zoom Palsu"

Sumber asli: Slow Mist Technology

Kata Pengantar: Baru-baru ini, pasar kripto kembali sering mengalami insiden phishing yang memanfaatkan tautan rapat Zoom palsu. Pertama, pendiri EurekaTrading, Kuan Sun, menjadi korban serangan phishing senilai 13 juta dolar AS setelah mempercayai undangan rapat palsu dan menginstal plugin berbahaya. Untungnya, protokol Venus segera menghentikan operasinya, dan dengan bantuan beberapa tim keamanan, akhirnya berhasil memulihkan dana.

Pada 8 September, pendiri komunitas perdagangan kripto Fortune Collective, Alexander Choi, juga mengungkapkan dalam sebuah postingan bahwa dia telah terhubung dengan proyek palsu melalui pesan pribadi di platform X, dan dalam komunikasi tersebut dia secara tidak sengaja mengklik tautan penipuan yang menyamar sebagai pertemuan, yang mengakibatkan kerugian hampir 1 juta dolar. Mengapa penipuan rapat Zoom palsu sering kali berhasil? Apa yang harus dilakukan investor untuk menghindarinya dan menjaga keamanan dana? Artikel ini pertama kali diterbitkan pada 27 Desember 2024, berikut adalah versi aslinya:

####Latar Belakang

Baru-baru ini, banyak pengguna di X melaporkan tentang metode phishing yang menyamar sebagai tautan rapat Zoom, di mana salah satu korban menginstal perangkat lunak berbahaya setelah mengklik tautan rapat Zoom yang berbahaya, yang menyebabkan pencurian aset kripto dengan kerugian mencapai jutaan dolar. Dalam konteks ini, tim keamanan Slow Fog melakukan analisis terhadap kejadian phishing dan metode serangan semacam itu, serta melacak aliran dana para peretas.

()

####Analisis tautan phishing

Hacker menggunakan domain yang menyerupai "app[.]us4zoom[.]us" untuk menyamar sebagai tautan rapat Zoom yang normal, halaman tersebut sangat mirip dengan rapat Zoom yang asli. Ketika pengguna mengklik tombol "Mulai Rapat", itu akan memicu unduhan paket instalasi berbahaya, bukan meluncurkan klien Zoom lokal.

Melalui deteksi domain di atas, kami menemukan alamat log pemantauan hacker (https[:]//app[.]us4zoom[.]us/error_log).

Dekripsi menemukan bahwa ini adalah entri log saat skrip mencoba mengirim pesan melalui API Telegram, dengan bahasa yang digunakan adalah Rusia.

Situs ini telah diluncurkan 27 hari yang lalu, kemungkinan hacker adalah orang Rusia, dan mulai mencari target untuk menjebak sejak 14 November, kemudian memantau melalui API Telegram apakah ada target yang mengklik tombol unduh di halaman phishing.

####analisis malware

File nama paket instalasi berbahaya ini adalah "ZoomApp_v.3.14.dmg", berikut adalah antarmuka perangkat lunak phishing Zoom yang dibuka, yang mengarahkan pengguna untuk menjalankan skrip berbahaya ZoomApp.file di Terminal, dan selama proses tersebut juga akan mengarahkan pengguna untuk memasukkan kata sandi mesin lokal.

Berikut adalah konten eksekusi dari file berbahaya ini:

Setelah mendekode konten di atas, ditemukan bahwa ini adalah skrip osascript yang berbahaya.

Analisis lebih lanjut menemukan bahwa skrip tersebut mencari file eksekusi tersembunyi bernama 「.ZoomApp」 dan menjalankannya secara lokal. Kami melakukan analisis disk pada paket instalasi asli 「ZoomApp_v.3.14.dmg」 dan menemukan bahwa paket instalasi tersebut memang menyembunyikan file eksekusi bernama 「.ZoomApp」.

####Analisis Perilaku Jahat

#####Analisis Statik

Kami mengunggah file biner tersebut ke platform intelijen ancaman untuk dianalisis, dan menemukan bahwa file tersebut telah ditandai sebagai file berbahaya.

()

Melalui analisis disassembly statis, gambar di bawah ini menunjukkan kode entri dari file biner ini, yang digunakan untuk dekripsi data dan eksekusi skrip.

Gambar di bawah ini adalah bagian data, di mana sebagian besar informasi telah dienkripsi dan dikodekan.

Dengan mendekripsi data, ditemukan bahwa file biner ini pada akhirnya juga menjalankan skrip osascript yang berbahaya (kode dekripsi lengkap telah dibagikan ke:

Kode berikut menunjukkan sebagian informasi jalur ID plugin yang berbeda.

Bagian kode di bawah ini adalah untuk membaca informasi KeyChain komputer.

Setelah kode jahat mengumpulkan informasi sistem, data browser, data dompet kripto, data Telegram, data catatan Notes, dan data Cookie, ia akan mengompresnya dan mengirimkannya ke server yang dikendalikan oleh hacker (141.98.9.20).

Karena program jahat memanipulasi pengguna untuk memasukkan kata sandi saat dijalankan, dan skrip jahat berikutnya juga akan mengumpulkan data KeyChain di komputer (yang mungkin berisi berbagai kata sandi yang disimpan pengguna di komputer), hacker setelah mengumpulkan data tersebut akan mencoba untuk mendekripsi data, memperoleh frase pemulihan dompet pengguna, kunci pribadi, dan informasi sensitif lainnya, sehingga mencuri aset pengguna.

Menurut analisis, alamat IP server peretas terletak di Belanda dan saat ini telah ditandai sebagai berbahaya oleh platform intelijen ancaman.

()

#####Analisis Dinamis

Menjalankan program jahat ini secara dinamis di lingkungan virtual dan menganalisis prosesnya, gambar di bawah ini menunjukkan informasi pemantauan proses program jahat yang mengumpulkan data dari mesin ini dan mengirimkan data ke backend.

####Analisis MistTrack

Kami menggunakan alat pelacakan on-chain MistTrack untuk menganalisis alamat peretas yang diberikan oleh korban 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: Alamat peretas memperoleh keuntungan lebih dari 1 juta dolar AS, termasuk USD0++, MORPHO, dan ETH; di mana, USD0++ dan MORPHO ditukarkan menjadi 296 ETH.

Menurut MistTrack, alamat hacker pernah menerima ETH kecil yang ditransfer dari alamat 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, diduga sebagai biaya transaksi untuk alamat hacker. Alamat ini (0xb01c) hanya memiliki satu sumber pendapatan, tetapi mentransfer ETH kecil ke hampir 8.800 alamat, tampaknya menjadi "platform khusus untuk menyediakan biaya transaksi."

Saring alamat ini (0xb01c) dari objek pengeluaran yang ditandai sebagai alamat jahat, terkait dengan dua alamat phishing, salah satunya ditandai sebagai Pink Drainer, analisis lebih lanjut kedua alamat phishing ini, dana sebagian besar berpindah ke ChangeNOW dan MEXC.

Selanjutnya, analisis situasi pengalihan dana yang dicuri, sebanyak 296,45 ETH telah dipindahkan ke alamat baru 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Waktu transaksi pertama untuk alamat baru (0xdfe7) adalah pada bulan Juli 2023, melibatkan beberapa rantai, saat ini saldo adalah 32,81 ETH.

Jalur utama untuk mentransfer ETH dari alamat baru (0xdfe7) adalah sebagai berikut:

0x19e0…5c98f

0x41a2…9c0b

ditukar menjadi 15.720 USDT

Gate

Alamat ekstensi di atas terkait dengan penarikan selanjutnya ke beberapa platform seperti Bybit, Cryptomus.com, Swapspace, Gate, MEXC, dan terkait dengan beberapa alamat yang ditandai oleh MistTrack sebagai Angel Drainer dan Theft. Selain itu, saat ini ada 99.96 ETH yang tinggal di alamat 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Jejak transaksi USDT dari alamat baru (0xdfe7) juga sangat banyak, telah dipindahkan ke platform seperti Binance, MEXC, FixedFloat, dan lainnya.

####Ringkasan

Saluran phishing yang dibagikan kali ini adalah hacker yang menyamar sebagai tautan rapat Zoom yang normal, yang menggoda pengguna untuk mengunduh dan menjalankan malware. Malware biasanya memiliki banyak fungsi berbahaya seperti mengumpulkan informasi sistem, mencuri data browser, dan mendapatkan informasi dompet cryptocurrency, serta mentransfer data ke server yang dikendalikan oleh hacker. Serangan semacam ini biasanya menggabungkan teknik serangan rekayasa sosial dan serangan trojan, dan pengguna dapat terjebak jika tidak berhati-hati. Tim keamanan Slow Fog menyarankan pengguna untuk memverifikasi tautan rapat dengan hati-hati sebelum mengklik, menghindari menjalankan perangkat lunak dan perintah yang tidak diketahui sumbernya, serta menginstal perangkat lunak antivirus dan memperbarui secara berkala. Untuk lebih banyak pengetahuan keamanan, disarankan untuk membaca "Buku Panduan Menyelamatkan Diri di Hutan Gelap Blockchain" yang diterbitkan oleh tim keamanan Slow Fog: