Phishing em reuniões do Zoom causa perdas de milhões de dólares, Profundidade na investigação das técnicas de ataque

Título original: "O que se vê não é o que é | Análise de phishing em reuniões falsas do Zoom"

Fonte original: Slow Fog Technology

Nota do editor: Recentemente, o mercado de criptomoedas voltou a ser alvo de frequentes incidentes de phishing utilizando links falsos de reuniões do Zoom. Primeiro, o fundador da EurekaTrading, Kuan Sun, caiu em um convite falso para uma reunião e, após instalar um plugin malicioso, sofreu um ataque de phishing no valor de 13 milhões de dólares. Felizmente, o protocolo Venus suspendeu urgentemente suas operações e, com a ajuda de várias equipes de segurança, conseguiu recuperar os fundos.

No dia 8 de setembro, Alexander Choi, fundador da comunidade de negociação de criptomoedas Fortune Collective, também divulgou que estabeleceu contato com um projeto falso através de mensagens privadas na plataforma X, e durante a comunicação, clicou acidentalmente em um link de phishing disfarçado de reunião, resultando em uma perda de quase 1 milhão de dólares. Por que as fraudes de reuniões falsas no Zoom continuam a ter sucesso? Como os investidores podem evitar isso para proteger a segurança dos seus fundos? Este artigo foi publicado pela primeira vez em 27 de dezembro de 2024, o texto original é o seguinte:

####Fundo

Recentemente, vários usuários na X relataram uma técnica de phishing disfarçada como um link de reunião Zoom, onde uma das vítimas, ao clicar no link malicioso da reunião Zoom, instalou malware, resultando no roubo de ativos criptográficos, com perdas que atingem milhões de dólares. Nesse contexto, a equipe de segurança Slow Mist analisou esses incidentes de phishing e técnicas de ataque, além de rastrear o fluxo de fundos dos hackers.

()

####Análise de links de phishing

Hackers are using domain names that look like "app[.]us4zoom[.]us" to disguise themselves as normal Zoom meeting links. The page is highly similar to a real Zoom meeting, and when users click the "Start Meeting" button, it triggers the download of a malicious installation package instead of launching the local Zoom client.

Através da sondagem do domínio acima, descobrimos o endereço do log de monitoramento do hacker (https[:]//app[.]us4zoom[.]us/error_log).

A descriptação revela que esta é uma entrada de log quando o script tenta enviar uma mensagem através da API do Telegram, usando a língua russa.

O site foi lançado há 27 dias, os hackers podem ser russos e começaram a procurar alvos para phishing desde 14 de novembro, monitorando através da API do Telegram se algum alvo clica no botão de download da página de phishing.

####Análise de malware

O nome do arquivo do pacote malicioso é "ZoomApp_v.3.14.dmg", a seguir está a interface que este software de phishing do Zoom abre, induzindo os usuários a executar o script malicioso ZoomApp.file no Terminal, e durante o processo de execução, também irá induzir os usuários a inserir a senha do dispositivo.

Abaixo está o conteúdo de execução deste arquivo malicioso:

Após decodificar o conteúdo acima, descobri que se trata de um script malicioso do osascript.

A análise continuada revelou que o script procura um ficheiro executável oculto chamado «.ZoomApp» e executa-o localmente. Realizámos uma análise do disco do pacote de instalação original «ZoomApp_v.3.14.dmg» e descobrimos que o pacote realmente oculta um ficheiro executável chamado «.ZoomApp».

####Análise de Comportamentos Maliciosos

#####Análise Estática

Fizemos o upload deste arquivo binário para a plataforma de inteligência de ameaças para análise e descobrimos que o arquivo já foi marcado como malicioso.

()

Através da análise de desassemblagem estática, a imagem abaixo mostra o código de entrada deste arquivo binário, utilizado para a descriptografia de dados e execução de scripts.

A imagem abaixo é a parte dos dados, onde se pode perceber que a maior parte das informações foi criptografada e codificada.

Após a decriptação dos dados, foi descoberto que este arquivo binário também executa um script malicioso osascript (o código completo de decriptação foi compartilhado em:

A imagem abaixo é parte do código que enumera as informações do caminho de diferentes IDs de plugins.

A imagem abaixo é uma parte do código para ler informações do KeyChain do computador.

Após coletar informações do sistema, dados do navegador, dados de carteiras criptográficas, dados do Telegram, dados de notas e dados de cookies, o código malicioso irá compactá-los e enviá-los para um servidor controlado por hackers (141.98.9.20).

Devido a programas maliciosos que induzem os usuários a inserir senhas durante a execução, e scripts maliciosos subsequentes que também coletam dados do KeyChain do computador (que podem incluir várias senhas que o usuário salvou no computador), os hackers, após coletarem esses dados, tentarão descriptografá-los para obter as frases de recuperação da carteira do usuário, chaves privadas e outras informações sensíveis, a fim de roubar os ativos do usuário.

De acordo com a análise, o endereço IP do servidor do hacker está localizado na Holanda e já foi marcado como malicioso por uma plataforma de inteligência de ameaças.

()

#####Análise Dinâmica

Executar dinamicamente o programa malicioso em um ambiente virtual e analisar o processo, a imagem abaixo mostra as informações de monitoramento do processo que coleta dados do dispositivo e envia dados para o servidor.

####Análise MistTrack

Utilizamos a ferramenta de rastreamento em blockchain MistTrack para analisar o endereço do hacker fornecido pela vítima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: o endereço do hacker obteve lucros superiores a 1 milhão de dólares, incluindo USD0++, MORPHO e ETH; dos quais, USD0++ e MORPHO foram trocados por 296 ETH.

De acordo com o MistTrack, o endereço do hacker recebeu pequenas quantidades de ETH transferidas do endereço 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, suspeitando-se que isso seja uma taxa de transação para o endereço do hacker. Este endereço (0xb01c) tem apenas uma fonte de receita, mas transfere pequenas quantidades de ETH para quase 8.800 endereços, parecendo ser uma "plataforma dedicada a fornecer taxas de transação".

Filtrar o endereço (0xb01c) entre os objetos de saída marcados como maliciosos, associados a dois endereços de phishing, um dos quais está marcado como Pink Drainer. Analisar esses dois endereços de phishing, os fundos foram basicamente transferidos para ChangeNOW e MEXC.

Em seguida, analisamos a situação da transferência dos fundos roubados, um total de 296,45 ETH foi transferido para o novo endereço 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

A primeira transação do novo endereço (0xdfe7) ocorreu em julho de 2023, envolvendo várias cadeias, e o saldo atual é de 32,81 ETH.

O principal caminho de saída de ETH para o novo endereço (0xdfe7) é o seguinte:

0x19e0…5c98f

0x41a2…9c0b

trocar por 15,720 USDT

Gate

As transações subsequentes do endereço expandido acima estão relacionadas com várias plataformas como Bybit, Cryptomus.com, Swapspace, Gate, MEXC, e estão associadas a vários endereços marcados pelo MistTrack como Angel Drainer e Theft. Além disso, atualmente há 99.96 ETH retidos no endereço 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

O histórico de transações de USDT no novo endereço (0xdfe7) também é muito extenso, sendo transferido para plataformas como Binance, MEXC, FixedFloat, entre outras.

####Resumo

O método de phishing compartilhado desta vez envolve hackers disfarçados de links normais de reuniões do Zoom, induzindo os usuários a baixar e executar malware. O malware geralmente possui múltiplas funções prejudiciais, como coletar informações do sistema, roubar dados do navegador e obter informações de carteiras de criptomoedas, transmitindo os dados para servidores controlados pelos hackers. Esse tipo de ataque geralmente combina técnicas de engenharia social e ataques de trojan, e os usuários podem facilmente cair na armadilha se não forem cuidadosos. A equipe de segurança da Slow Mist recomenda que os usuários verifiquem cuidadosamente os links das reuniões antes de clicar, evitem executar software e comandos de fontes desconhecidas, instalem software antivírus e atualizem regularmente. Para mais informações sobre segurança, recomenda-se ler o "Manual de Autoajuda da Floresta Sombria da Blockchain" produzido pela equipe de segurança da Slow Mist: