Sahte Zoom toplantısı oltalama, milyonlarca dolarlık kayba yol açtı, saldırı yöntemleri derinlikli olarak incelendi.

Orijinal Başlık: "Gözle Görünmeyen Gerçek | Sahte Zoom Toplantısı Phishing Analizi"

Kaynak: Slow Mist Technology

Editör Notu: Son zamanlarda, kripto para piyasasında sahte Zoom toplantı bağlantıları ile sıkça karşılaşılan dolandırıcılık olayları yaşandı. Öncelikle, EurekaTrading'in kurucusu Kuan Sun, sahte toplantı davetini yanlışlıkla kabul ettikten sonra kötü amaçlı bir eklenti yükleyerek 13 milyon dolarlık bir dolandırıcılığa maruz kaldı. Neyse ki, Venus protokolü acil olarak durduruldu ve birçok güvenlik ekibinin yardımıyla, nihayetinde fonlar başarıyla geri alındı.

8 Eylül'de, kripto ticaret topluluğu Fortune Collective'in kurucusu Alexander Choi, X platformunda özel mesajla sahte projelerle bağlantı kurduğunu ve bu iletişim sırasında sahte bir toplantı gibi görünen dolandırıcılık bağlantısına tıkladığını, bu durumun neredeyse 1 milyon dolarlık bir kayba yol açtığını açıkladı. Sahte Zoom toplantı dolandırıcılığı neden sık sık başarıya ulaşıyor? Yatırımcılar, fon güvenliğini korumak için nasıl önlem almalı? Bu makale 27 Aralık 2024'te ilk kez yayımlandı, orijinal metin aşağıdadır:

####arka plan

Son zamanlarda, X üzerindeki birçok kullanıcı, Zoom toplantı bağlantısı gibi görünen bir phishing saldırısı yöntemini bildirdi. Bu saldırılardan birinin kurbanı, kötü niyetli Zoom toplantı bağlantısına tıkladıktan sonra kötü amaçlı yazılım yüklemiş ve kripto varlıklarının çalınmasına neden olarak milyonlarca dolarlık kayba yol açmıştır. Bu bağlamda, Slow Mist güvenlik ekibi bu tür phishing olayları ve saldırı yöntemlerini analiz etmiş ve hackerların fon akışını takip etmiştir.

()

####Balık Avı Bağlantı Analizi

Korsanlar "app[.]us4zoom[.]us" şeklindeki bir alan adını normal Zoom toplantı bağlantısı gibi gizleyerek kullanıyorlar, sayfa gerçek Zoom toplantısına son derece benziyor. Kullanıcı "Toplantıyı Başlat" butonuna tıkladığında, yerel Zoom istemcisini başlatmak yerine kötü amaçlı bir kurulum dosyasının indirilmesi tetikleniyor.

Yukarıdaki alan adı taraması ile, bir hacker'ın izleme günlükleri adresini tespit ettik (https[:]//app[.]us4zoom[.]us/error_log).

Şifre çözümleme bulguları, bu scriptin Telegram API'si aracılığıyla mesaj göndermeye çalıştığı sırada Rusça kullanılan dilin kayıt girişidir.

Bu site 27 gün önce faaliyete geçti, hackerın Rus olabileceği ve 14 Kasım'dan itibaren hedefleri bulmak için yatırımlar aramaya başladığı, ardından Telegram API'si aracılığıyla hedeflerin oltalama sayfasının indirme butonuna tıklayıp tıklamadığını izlediği belirtiliyor.

####Kötü amaçlı yazılım analizi

Bu kötü niyetli kurulum dosyasının adı "ZoomApp_v.3.14.dmg". Aşağıda, bu Zoom kimlik avı yazılımının açtığı arayüz yer almakta; kullanıcıları Terminal'de ZoomApp.file kötü niyetli betiğini çalıştırmaları için kandırmakta ve işlem sırasında kullanıcıları yerel şifrelerini girmeye teşvik etmektedir.

Aşağıda bu kötü niyetli dosyanın yürütme içeriği bulunmaktadır:

Yukarıdaki içeriğin çözülmesi sonucunda bunun kötü niyetli bir osascript betiği olduğu anlaşıldı.

Devam eden analiz, bu skriptin yerel olarak çalıştırmak üzere " .ZoomApp " adında gizli bir çalıştırılabilir dosya aradığını ortaya koydu. Orijinal kurulum paketini " ZoomApp_v.3.14.dmg " disk analizi yaptığımızda, kurulum paketinin gerçekten " .ZoomApp " adında bir çalıştırılabilir dosya gizlediğini keşfettik.

####Kötü niyetli davranış analizi

#####Statik Analiz

Bu ikili dosyayı tehdit istihbarat platformuna yükledik ve bu dosyanın kötü amaçlı dosya olarak işaretlendiğini bulduk.

()

Statik tersine mühendislik analizi ile, aşağıdaki resim bu ikili dosyanın giriş kodunu göstermektedir, veri şifrelemesi ve script yürütülmesi için kullanılır.

Aşağıdaki resim veri kısmıdır, çoğu bilginin şifrelenmiş ve kodlanmış olduğu görülebilir.

Veri şifrelemesini çözdükten sonra, bu ikili dosyanın nihayetinde aynı şekilde kötü niyetli bir osascript betiği çalıştırdığını keşfettik (tam şifre çözme kodu paylaşıldı:

Aşağıdaki resim, farklı eklenti ID'si yol bilgilerini listeleyen bir kod parçasıdır.

Aşağıdaki görüntü, bilgisayarın KeyChain bilgilerini okumaya yönelik bir kod parçasını göstermektedir.

Kötü niyetli yazılım, sistem bilgilerini, tarayıcı verilerini, kripto cüzdan verilerini, Telegram verilerini, Notlar verilerini ve Çerez verilerini topladıktan sonra, bunları sıkıştırır ve hacker'ın kontrolündeki sunucuya (141.98.9.20) gönderir.

Kötü amaçlı yazılım, çalışırken kullanıcıları şifre girmeye yönlendirir ve sonraki kötü amaçlı scriptler, bilgisayardaki KeyChain verilerini (kullanıcının bilgisayarında sakladığı çeşitli şifreleri içerebilir) toplar. Hackerlar topladıkları verileri şifre çözmeye çalışarak, kullanıcının cüzdan kurtarma kelimeleri, özel anahtarlar gibi hassas bilgilere ulaşır ve böylece kullanıcının varlıklarını çalar.

Analizlere göre, hacker sunucusunun IP adresi Hollanda'da bulunuyor ve şu anda tehdit istihbarat platformu tarafından kötü niyetli olarak işaretlendi.

()

#####Dinamik Analiz

Kötü amaçlı yazılımı sanal bir ortamda dinamik olarak çalıştırın ve süreci analiz edin. Aşağıdaki resim, kötü amaçlı yazılımın yerel makine verilerini toplama süreci ve verileri arka plana gönderme süreci izleme bilgilerini göstermektedir.

####MistTrack analizi

Kurbanın sağladığı hacker adresi 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac'yi analiz etmek için MistTrack adlı zincir üstü izleme aracını kullanıyoruz: Hacker adresi 1 milyon dolardan fazla kazanç elde etti, bunlar arasında USD0++, MORPHO ve ETH bulunuyor; bunlardan USD0++ ve MORPHO 296 ETH'ye dönüştürüldü.

MistTrack'e göre, hacker adresi, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e adresinden gelen küçük miktarda ETH almıştır, bu da hacker adresine işlem ücreti sağlamak için olabileceği düşünülmektedir. Bu adresin (0xb01c) gelir kaynağı sadece bir adresken, yaklaşık 8,800 adrese küçük miktarda ETH göndermiştir, bu da onu "özellikle işlem ücreti sağlayan bir platform" gibi gösteriyor.

Bu adresi (0xb01c) kötü niyetli olarak işaretlenmiş çıkış nesnelerinde filtreleyin, iki oltalama adresi ile ilişkilendirildi, bunlardan biri Pink Drainer olarak işaretlendi, bu iki oltalama adresini genişletilmiş analiz edin, fonlar esasen ChangeNOW ve MEXC'ye transfer edilmiştir.

Sonra çalınan fonların transfer durumunu analiz ettik, toplam 296.45 ETH yeni adrese 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 aktarıldı.

Yeni adres (0xdfe7) için ilk işlem tarihi 2023 Temmuz'dur, birden fazla zinciri kapsamaktadır ve mevcut bakiyesi 32.81 ETH'dir.

Yeni adres (0xdfe7) ana ETH çekim yolu aşağıdaki gibidir:

0x19e0…5c98f

0x41a2…9c0b

15,720 USDT olarak değiştirin

Gate

Yukarıdaki genişletilmiş adresin sonraki transferleri, Bybit, Cryptomus.com, Swapspace, Gate, MEXC gibi birçok platformla ilişkili olup, MistTrack tarafından Angel Drainer ve Theft olarak işaretlenmiş birçok adresle bağlantılıdır. Bunun dışında, şu anda 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 adresinde 99.96 ETH bulunmaktadır.

Yeni adresin (0xdfe7) USDT işlem izleri de oldukça fazla, Binance, MEXC, FixedFloat gibi platformlara aktarılmış.

####özet

Bu paylaşımda bahsedilen phishing yöntemi, hackerların normal bir Zoom toplantı bağlantısı gibi davranarak kullanıcıları kötü amaçlı yazılım indirmeye ve çalıştırmaya teşvik etmesidir. Kötü amaçlı yazılımlar genellikle sistem bilgilerini toplama, tarayıcı verilerini çalma ve kripto para cüzdanı bilgilerini elde etme gibi çoklu tehlikeli işlevlere sahiptir ve verileri hacker'ın kontrolündeki sunuculara iletir. Bu tür saldırılar genellikle sosyal mühendislik saldırısı ve truva atı saldırı tekniklerini birleştirir; kullanıcıların en küçük bir dikkatsizlik göstermesi durumunda başlarına gelebilir. Slow Mist güvenlik ekibi, kullanıcıların toplantı bağlantılarına tıklamadan önce dikkatlice doğrulama yapmalarını, kaynağı belirsiz yazılımları ve komutları çalıştırmaktan kaçınmalarını, antivirüs yazılımı yüklemelerini ve düzenli olarak güncellemelerini öneriyor. Daha fazla güvenlik bilgisi için Slow Mist güvenlik ekibinin yayımladığı "Blockchain Karanlık Orman Kendini Kurtarma Kılavuzu"nu okumanızı tavsiye ederiz: