Поддельная конференция Zoom привела к убыткам в миллион долларов, Глубина анализа методов атаки

Исходное название: «Что на самом деле не видно: анализ фишинга через поддельные Zoom-встречи»

Исходный текст: Slow Mist Technology

Редакционный комментарий: В последнее время на криптовалютном рынке снова участились случаи фишинга с использованием поддельных ссылок на Zoom-встречи. Сначала основатель EurekaTrading Куан Сун, доверившись ложному приглашению на встречу, стал жертвой фишинг-атаки на сумму 13 миллионов долларов после установки вредоносного плагина. К счастью, протокол Venus срочно приостановил свою работу, и при поддержке нескольких команд безопасности в конечном итоге удалось вернуть средства.

8 сентября основатель криптовалютного торгового сообщества Fortune Collective Александр Чой также опубликовал сообщение, в котором раскрыл, что он установил контакт с мошенническим проектом через личные сообщения на платформе X, и в процессе общения случайно нажал на мошенническую ссылку, замаскированную под встречу, что привело к потере почти 1 миллиона долларов. Почему мошеннические Zoom-встречи продолжают срабатывать? Как инвесторам избежать таких ситуаций, чтобы защитить свои средства? Эта статья была впервые опубликована 27 декабря 2024 года, оригинал выглядит следующим образом:

####фон

Недавно несколько пользователей на X сообщили о способе фишинга, маскирующемся под ссылку на Zoom-встречу. Один из жертв, кликнув на вредоносную ссылку Zoom, установил вредоносное ПО, что привело к краже криптоактивов с убытками в размере миллиона долларов. В этом контексте команда безопасности Slow Mist провела анализ подобных фишинговых инцидентов и методов атак, а также отслеживала движение средств хакеров.

!

()

####Анализ рыболовных ссылок

Хакеры используют доменные имена, такие как «app[.]us4zoom[.]us», чтобы замаскироваться под обычные ссылки Zoom-встречи, страница очень похожа на настоящую Zoom-встречу. Когда пользователь нажимает кнопку «Запустить встречу», это вызывает загрузку вредоносного установочного пакета, а не запуск локального клиента Zoom.

!

Проведя обследование вышеуказанного домена, мы обнаружили адрес журнала мониторинга хакеров (https[:]//app[.]us4zoom[.]us/error_log).

!

Декодирование показало, что это запись журнала попытки отправить сообщение через API Telegram, использующий русский язык.

!

Сайт был запущен 27 дней назад, хакеры, возможно, россияне, и с 14 ноября начали искать цели для взлома, а затем через API Telegram мониторили, есть ли цели, которые нажимают кнопку загрузки на фишинговой странице.

!

####Анализ вредоносного ПО

Этот вредоносный установочный пакет называется «ZoomApp_v.3.14.dmg». Ниже представлен интерфейс этого фишингового ПО Zoom, который побуждает пользователя выполнить вредоносный скрипт ZoomApp.file в Terminal, а также в процессе выполнения будет вводить пользователя в заблуждение, заставляя его ввести пароль от своей машины.

!

Ниже приведено содержание выполнения этого вредоносного файла:

!

После декодирования вышеуказанного содержимого было обнаружено, что это вредоносный скрипт osascript.

!

Продолжая анализ, мы обнаружили, что этот скрипт ищет скрытый исполняемый файл с именем «.ZoomApp» и запускает его локально. Мы провели анализ диска оригинального установочного пакета «ZoomApp_v.3.14.dmg» и обнаружили, что установочный пакет действительно скрывает исполняемый файл с именем «.ZoomApp».

!

####Анализ злонамеренных действий

#####Статический анализ

Мы загрузили этот двоичный файл на платформу анализа угроз и обнаружили, что файл уже был помечен как вредоносный.

!

()

С помощью статического дизассемблирования был выполнен анализ, на приведенном ниже рисунке показан код входа этого бинарного файла, используемого для дешифрования данных и выполнения скриптов.

!

На нижней картинке представлены данные, и можно заметить, что большая часть информации была зашифрована и закодирована.

!

После расшифровки данных было установлено, что этот двоичный файл в конечном итоге также выполняет вредоносный скрипт osascript (полный код расшифровки уже был опубликован:

Ниже приведен фрагмент кода, перечисляющий информацию о путях различных идентификаторов плагинов.

!

Ниже приведен фрагмент кода для чтения информации из KeyChain компьютера.

!

Зловредный код, собрав информацию о системе, данные браузера, данные криптовалютного кошелька, данные Telegram, данные заметок и данные Cookie, сожмет их и отправит на сервер, контролируемый хакером (141.98.9.20).

!

Поскольку вредоносная программа побуждает пользователя вводить пароль во время выполнения, а последующие вредоносные скрипты также собирают данные KeyChain на компьютере (возможно, содержащие различные пароли, сохраненные пользователем на компьютере), хакеры после сбора попытаются расшифровать данные, чтобы получить мнемоническую фразу кошелька пользователя, закрытые ключи и другую чувствительную информацию, что приведет к краже активов пользователя.

Согласно анализу, IP-адрес сервера хакеров расположен в Нидерландах и в настоящее время помечен платформой угроз как вредоносный.

!

()

#####Динамический анализ

Динамическое выполнение этого вредоносного программного обеспечения в виртуальной среде и анализ процессов. На нижнем рисунке представлена информация о мониторинге процессов, собирающих данные с данного устройства и отправляющих их на сервер.

!

!

####Анализ MistTrack

Мы используем инструменты отслеживания в блокчейне MistTrack для анализа адреса хакера, предоставленного жертвой 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: хакерский адрес заработал более 1 миллиона долларов США, включая USD0++, MORPHO и ETH; при этом USD0++ и MORPHO были обменены на 296 ETH.

!

Согласно данным MistTrack, адрес хакера ранее получил небольшие переводы ETH от адреса 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, что подозревается как предоставление комиссии для адреса хакера. Этот адрес (0xb01c) имеет только один источник дохода, но переводит небольшие суммы ETH почти на 8,800 адресов, что кажется «платформой, специально предназначенной для предоставления комиссий».

!

Отфильтровать адрес (0xb01c) среди объектов вывода, помеченных как вредоносные, связанные с двумя фишинговыми адресами, один из которых помечен как Pink Drainer, провести расширенный анализ этих двух фишинговых адресов, средства в основном были переведены на ChangeNOW и MEXC.

!

Далее проанализируем ситуацию с выводом украденных средств: всего 296,45 ETH было переведено на новый адрес 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

!

Первая транзакция нового адреса (0xdfe7) была выполнена в июле 2023 года, она затрагивала несколько цепочек, текущий баланс составляет 32,81 ETH.

!

Основной путь вывода ETH на новый адрес (0xdfe7) выглядит следующим образом:

· 200.79 ETH -> 0x19e0... 5С98Ф

· 63.03 ETH -> 0x41a2... 9С0Б

обмен на 15,720 USDT

· 14.39 ETH -> Гейт

!

Вывод средств с вышеуказанного адреса связан с несколькими платформами, такими как Bybit, Cryptomus.com, Swapspace, Gate, MEXC, и с несколькими адресами, помеченными MistTrack как Angel Drainer и Theft. Кроме того, в настоящее время на адресе 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 находится 99.96 ETH.

!

Торговые следы USDT нового адреса (0xdfe7) также очень многочисленны, они были выведены на платформы Binance, MEXC, FixedFloat и другие.

!

####Резюме

В этом докладе описывается метод фишинга, при котором хакеры маскируются под обычные ссылки Zoom для того, чтобы заставить пользователей скачать и запустить вредоносное ПО. Вредоносное ПО обычно обладает множеством вредоносных функций, таких как сбор системной информации, кража данных браузера и получение информации о криптовалютных кошельках, передавая данные на серверы, контролируемые хакерами. Такие атаки часто сочетают в себе техники социальной инженерии и троянских атак, и пользователи могут легко стать жертвами, если не будут осторожны. Команда безопасности Slow Mist рекомендует пользователям внимательно проверять ссылки на встречи перед их нажатием, избегать запуска программ и команд из неизвестных источников, устанавливать антивирусное ПО и регулярно обновлять его. Для получения дополнительных рекомендаций по безопасности рекомендуем прочитать «Справочник по самозащите в темном лесу блокчейна», изданный командой безопасности Slow Mist: