原文タイトル:《目に見えるものは実際のものではない|偽のZoom会議フィッシング分析》
出典:SlowMist Technology
編者の言葉:最近、暗号市場では再び偽のZoom会議リンクを利用したフィッシング事件が頻繁に発生しています。最初に、EurekaTradingの創設者Kuan Sunが偽の会議招待を信じて悪意のあるプラグインをインストールした結果、1300万ドルのフィッシング攻撃に遭いました。幸いなことに、Venusプロトコルは緊急停止し、複数のセキュリティチームの協力を得て、最終的に資金を回収することに成功しました。
9月8日、暗号取引コミュニティFortune Collectiveの創設者アレクサンダー・チョイがXプラットフォームの私信で偽のプロジェクトと接触し、交流中に会議を装った詐欺リンクを誤ってクリックし、約100万ドルの損失を被ったことを発表しました。偽のZoom会議フィッシングがなぜ何度も成功するのか?投資家は資金の安全を守るためにどうすればよいのか?この記事は2024年12月27日に初めて公開されました。原文は以下の通りです。
###背景
最近、X 上の多くのユーザーが Zoom 会議リンクを装ったフィッシング攻撃の手法について報告しました。その中の一人の被害者は、悪意のある Zoom 会議リンクをクリックした後、マルウェアをインストールし、暗号資産が盗まれ、損失規模は数百万ドルに達しました。このような背景の中で、Slow Mist セキュリティチームはこの種のフィッシング事件と攻撃手法について分析を行い、ハッカーの資金の流れを追跡しました。
!
()
####フィッシングリンク分析
ハッカーは「app[.]us4zoom[.]us」のようなドメインを使って、通常のZoom会議リンクに偽装しています。ページは本物のZoom会議と非常に似ており、ユーザーが「会議を開始」ボタンをクリックすると、ローカルのZoomクライアントを起動するのではなく、悪意のあるインストールパッケージのダウンロードがトリガーされます。
上記のドメイン探査によって、私たちはハッカーの監視ログアドレス(https[:]//app[.]us4zoom[.]us/error_log)を発見しました。
デコードすると、これはスクリプトがTelegram APIを介してメッセージを送信しようとしたときのログエントリであり、使用されている言語はロシア語です。
このサイトは27日前に展開され、ハッカーはロシア人である可能性があり、11月14日からターゲットを探し始め、Telegram APIを通じてターゲットがフィッシングページのダウンロードボタンをクリックしたかどうかを監視していました。
####マルウェア分析
この悪意のあるインストーラのファイル名は「ZoomApp_v.3.14.dmg」であり、以下はその Zoom フィッシングソフトウェアが表示する画面で、ユーザーに Terminal で ZoomApp.file の悪意のあるスクリプトを実行させ、実行中にユーザーにローカルのパスワードの入力を促します。
以下はこの悪意のあるファイルの実行内容です:
上記の内容をデコードしたところ、これは悪意のあるosascriptスクリプトであることが判明しました。
引き続き分析を進めたところ、このスクリプトは「.ZoomApp」という名前の隠れた実行ファイルを探し、ローカルで実行します。元のインストールパッケージ「ZoomApp_v.3.14.dmg」をディスク分析したところ、実際に「.ZoomApp」という名前の実行ファイルが隠されていることがわかりました。
####悪意のある行動の分析
#####静的解析
私たちはこのバイナリファイルを脅威インテリジェンスプラットフォームにアップロードして分析し、そのファイルがすでに悪意のあるファイルとしてマークされていることを発見しました。
静的逆アセンブル分析によって、下の図はこのバイナリファイルのエントリーコードであり、データの復号とスクリプトの実行に使用されます。
下の図はデータ部分であり、大部分の情報は暗号化およびエンコードされています。
データの復号化を通じて、このバイナリファイルが最終的に悪意のあるosascriptスクリプトを実行することが判明しました(完全な復号化コードは以下に共有されています:
下記の図は、異なるプラグインIDのパス情報を列挙するための部分的なコードです。
下の図はコンピュータのKeyChain情報を読み取るための部分コードです。
悪意のあるコードは、システム情報、ブラウザデータ、暗号ウォレットデータ、Telegramデータ、Notesメモデータ、Cookieデータなどの情報を収集した後、それらを圧縮してハッカーが制御するサーバー(141.98.9.20)に送信します。
悪意のあるプログラムが実行中にユーザーにパスワードを入力させ、さらに悪意のあるスクリプトがコンピュータ内のKeyChainデータ(ユーザーがコンピュータに保存しているさまざまなパスワードを含む可能性がある)を収集するため、ハッカーは収集後にデータの暗号を解読し、ユーザーのウォレットのリカバリーフレーズや秘密鍵などの機密情報を取得し、ユーザーの資産を盗むことになります。
分析によると、ハッカーのサーバーのIPアドレスはオランダに位置しており、現在、脅威インテリジェンスプラットフォームによって悪意のあるものとしてマークされています。
#####動的解析
仮想環境でこの悪意のあるプログラムを動的に実行し、プロセスを分析します。下の図は、悪意のあるプログラムがローカルデータを収集し、バックエンドにデータを送信するプロセスの監視情報です。
####MistTrack 分析
私たちは、被害者が提供したハッカーアドレス 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac を分析するために、オンチェーン追跡ツール MistTrack を使用しました:ハッカーアドレスは 100 万ドル以上の利益を得ており、USD0++、MORPHO、ETH を含みます。その中で、USD0++ と MORPHO は 296 ETH に交換されました。
MistTrackによると、ハッカーアドレスはアドレス0xb01caea8c6c47bbf4f4b4c5080ca642043359c2eから転送された少額のETHを受け取っており、これはハッカーアドレスに手数料を提供するためのものと疑われています。このアドレス(0xb01c)の収入源は一つのアドレスだけですが、近くの8,800のアドレスに少額のETHを転送しているようで、「手数料を提供するためのプラットフォーム」として機能しているようです。
このアドレス(0xb01c)から転送されたオブジェクトの中で悪意のあるものとしてマークされたアドレスをフィルタリングし、2つのフィッシングアドレスに関連付けられています。そのうちの1つは Pink Drainer としてマークされています。これら2つのフィッシングアドレスを詳細に分析すると、資金は基本的に ChangeNOW と MEXC に移動しています。
次に、盗まれた資金の移動状況を分析します。合計で 296.45 ETH が新しいアドレス 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 に移転されました。
新しいアドレス(0xdfe7)の最初の取引時間は2023年7月で、複数のチェーンが関与しており、現在の残高は32.81 ETHです。
新しいアドレス(0xdfe7)の主な ETH 転送経路は以下の通りです:
· 200.79 ETH -> 0x19e0... 5C98F
· 63.03 ETH -> 0x41a2... 9c0b
· 8.44 ETH -> から 15,720 USDT
· 14.39 ETH ->ゲート
以上の拡張アドレスの後続の出金は、Bybit、Cryptomus.com、Swapspace、Gate、MEXCなどの複数のプラットフォームに関連しており、MistTrackによってAngel DrainerおよびTheftとしてマークされた複数のアドレスとも関連しています。それに加えて、現在99.96 ETHがアドレス0x3624169dfeeead9f3234c0ccd38c3b97cecafd01に留まっています。
新しいアドレス(0xdfe7)の USDT の取引痕跡も非常に多く、Binance、MEXC、FixedFloat などのプラットフォームに転送されています。
###概要
今回の共有されるフィッシング手法は、ハッカーが正常なZoom会議リンクに偽装し、ユーザーに悪意のあるソフトウェアをダウンロードして実行させるというものです。悪意のあるソフトウェアは通常、システム情報の収集、ブラウザデータの盗難、暗号通貨ウォレット情報の取得など、複数の危害を及ぼす機能を備えており、データはハッカーが制御するサーバーに送信されます。この種の攻撃は通常、ソーシャルエンジニアリング攻撃とトロイの木馬攻撃技術を組み合わせており、ユーザーが少しでも不注意であれば、被害に遭う可能性があります。SlowMistセキュリティチームは、ユーザーが会議リンクをクリックする前に慎重に確認し、出所不明のソフトウェアやコマンドを実行しないようにし、ウイルス対策ソフトウェアをインストールして定期的に更新することを推奨しています。さらなるセキュリティ知識については、SlowMistセキュリティチームが制作した『ブロックチェーンダークフォレスト自救マニュアル』を読むことをお勧めします。
246 人気度
4.7M 人気度
118.8K 人気度
77.4K 人気度
162.8K 人気度
偽のZoom会議フィッシングが百万ドルの損失をもたらし、デプスに攻撃手法を掘り下げる
原文タイトル:《目に見えるものは実際のものではない|偽のZoom会議フィッシング分析》
出典:SlowMist Technology
編者の言葉:最近、暗号市場では再び偽のZoom会議リンクを利用したフィッシング事件が頻繁に発生しています。最初に、EurekaTradingの創設者Kuan Sunが偽の会議招待を信じて悪意のあるプラグインをインストールした結果、1300万ドルのフィッシング攻撃に遭いました。幸いなことに、Venusプロトコルは緊急停止し、複数のセキュリティチームの協力を得て、最終的に資金を回収することに成功しました。
9月8日、暗号取引コミュニティFortune Collectiveの創設者アレクサンダー・チョイがXプラットフォームの私信で偽のプロジェクトと接触し、交流中に会議を装った詐欺リンクを誤ってクリックし、約100万ドルの損失を被ったことを発表しました。偽のZoom会議フィッシングがなぜ何度も成功するのか?投資家は資金の安全を守るためにどうすればよいのか?この記事は2024年12月27日に初めて公開されました。原文は以下の通りです。
###背景
最近、X 上の多くのユーザーが Zoom 会議リンクを装ったフィッシング攻撃の手法について報告しました。その中の一人の被害者は、悪意のある Zoom 会議リンクをクリックした後、マルウェアをインストールし、暗号資産が盗まれ、損失規模は数百万ドルに達しました。このような背景の中で、Slow Mist セキュリティチームはこの種のフィッシング事件と攻撃手法について分析を行い、ハッカーの資金の流れを追跡しました。
!
()
####フィッシングリンク分析
ハッカーは「app[.]us4zoom[.]us」のようなドメインを使って、通常のZoom会議リンクに偽装しています。ページは本物のZoom会議と非常に似ており、ユーザーが「会議を開始」ボタンをクリックすると、ローカルのZoomクライアントを起動するのではなく、悪意のあるインストールパッケージのダウンロードがトリガーされます。
!
上記のドメイン探査によって、私たちはハッカーの監視ログアドレス(https[:]//app[.]us4zoom[.]us/error_log)を発見しました。
!
デコードすると、これはスクリプトがTelegram APIを介してメッセージを送信しようとしたときのログエントリであり、使用されている言語はロシア語です。
!
このサイトは27日前に展開され、ハッカーはロシア人である可能性があり、11月14日からターゲットを探し始め、Telegram APIを通じてターゲットがフィッシングページのダウンロードボタンをクリックしたかどうかを監視していました。
!
####マルウェア分析
この悪意のあるインストーラのファイル名は「ZoomApp_v.3.14.dmg」であり、以下はその Zoom フィッシングソフトウェアが表示する画面で、ユーザーに Terminal で ZoomApp.file の悪意のあるスクリプトを実行させ、実行中にユーザーにローカルのパスワードの入力を促します。
!
以下はこの悪意のあるファイルの実行内容です:
!
上記の内容をデコードしたところ、これは悪意のあるosascriptスクリプトであることが判明しました。
!
引き続き分析を進めたところ、このスクリプトは「.ZoomApp」という名前の隠れた実行ファイルを探し、ローカルで実行します。元のインストールパッケージ「ZoomApp_v.3.14.dmg」をディスク分析したところ、実際に「.ZoomApp」という名前の実行ファイルが隠されていることがわかりました。
!
####悪意のある行動の分析
#####静的解析
私たちはこのバイナリファイルを脅威インテリジェンスプラットフォームにアップロードして分析し、そのファイルがすでに悪意のあるファイルとしてマークされていることを発見しました。
!
()
静的逆アセンブル分析によって、下の図はこのバイナリファイルのエントリーコードであり、データの復号とスクリプトの実行に使用されます。
!
下の図はデータ部分であり、大部分の情報は暗号化およびエンコードされています。
!
データの復号化を通じて、このバイナリファイルが最終的に悪意のあるosascriptスクリプトを実行することが判明しました(完全な復号化コードは以下に共有されています:
下記の図は、異なるプラグインIDのパス情報を列挙するための部分的なコードです。
!
下の図はコンピュータのKeyChain情報を読み取るための部分コードです。
!
悪意のあるコードは、システム情報、ブラウザデータ、暗号ウォレットデータ、Telegramデータ、Notesメモデータ、Cookieデータなどの情報を収集した後、それらを圧縮してハッカーが制御するサーバー(141.98.9.20)に送信します。
!
悪意のあるプログラムが実行中にユーザーにパスワードを入力させ、さらに悪意のあるスクリプトがコンピュータ内のKeyChainデータ(ユーザーがコンピュータに保存しているさまざまなパスワードを含む可能性がある)を収集するため、ハッカーは収集後にデータの暗号を解読し、ユーザーのウォレットのリカバリーフレーズや秘密鍵などの機密情報を取得し、ユーザーの資産を盗むことになります。
分析によると、ハッカーのサーバーのIPアドレスはオランダに位置しており、現在、脅威インテリジェンスプラットフォームによって悪意のあるものとしてマークされています。
!
()
#####動的解析
仮想環境でこの悪意のあるプログラムを動的に実行し、プロセスを分析します。下の図は、悪意のあるプログラムがローカルデータを収集し、バックエンドにデータを送信するプロセスの監視情報です。
!
!
####MistTrack 分析
私たちは、被害者が提供したハッカーアドレス 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac を分析するために、オンチェーン追跡ツール MistTrack を使用しました:ハッカーアドレスは 100 万ドル以上の利益を得ており、USD0++、MORPHO、ETH を含みます。その中で、USD0++ と MORPHO は 296 ETH に交換されました。
!
MistTrackによると、ハッカーアドレスはアドレス0xb01caea8c6c47bbf4f4b4c5080ca642043359c2eから転送された少額のETHを受け取っており、これはハッカーアドレスに手数料を提供するためのものと疑われています。このアドレス(0xb01c)の収入源は一つのアドレスだけですが、近くの8,800のアドレスに少額のETHを転送しているようで、「手数料を提供するためのプラットフォーム」として機能しているようです。
!
このアドレス(0xb01c)から転送されたオブジェクトの中で悪意のあるものとしてマークされたアドレスをフィルタリングし、2つのフィッシングアドレスに関連付けられています。そのうちの1つは Pink Drainer としてマークされています。これら2つのフィッシングアドレスを詳細に分析すると、資金は基本的に ChangeNOW と MEXC に移動しています。
!
次に、盗まれた資金の移動状況を分析します。合計で 296.45 ETH が新しいアドレス 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 に移転されました。
!
新しいアドレス(0xdfe7)の最初の取引時間は2023年7月で、複数のチェーンが関与しており、現在の残高は32.81 ETHです。
!
新しいアドレス(0xdfe7)の主な ETH 転送経路は以下の通りです:
· 200.79 ETH -> 0x19e0... 5C98F
· 63.03 ETH -> 0x41a2... 9c0b
· 8.44 ETH -> から 15,720 USDT
· 14.39 ETH ->ゲート
!
以上の拡張アドレスの後続の出金は、Bybit、Cryptomus.com、Swapspace、Gate、MEXCなどの複数のプラットフォームに関連しており、MistTrackによってAngel DrainerおよびTheftとしてマークされた複数のアドレスとも関連しています。それに加えて、現在99.96 ETHがアドレス0x3624169dfeeead9f3234c0ccd38c3b97cecafd01に留まっています。
!
新しいアドレス(0xdfe7)の USDT の取引痕跡も非常に多く、Binance、MEXC、FixedFloat などのプラットフォームに転送されています。
!
###概要
今回の共有されるフィッシング手法は、ハッカーが正常なZoom会議リンクに偽装し、ユーザーに悪意のあるソフトウェアをダウンロードして実行させるというものです。悪意のあるソフトウェアは通常、システム情報の収集、ブラウザデータの盗難、暗号通貨ウォレット情報の取得など、複数の危害を及ぼす機能を備えており、データはハッカーが制御するサーバーに送信されます。この種の攻撃は通常、ソーシャルエンジニアリング攻撃とトロイの木馬攻撃技術を組み合わせており、ユーザーが少しでも不注意であれば、被害に遭う可能性があります。SlowMistセキュリティチームは、ユーザーが会議リンクをクリックする前に慎重に確認し、出所不明のソフトウェアやコマンドを実行しないようにし、ウイルス対策ソフトウェアをインストールして定期的に更新することを推奨しています。さらなるセキュリティ知識については、SlowMistセキュリティチームが制作した『ブロックチェーンダークフォレスト自救マニュアル』を読むことをお勧めします。