Фальшиві Zoom-конференції призвели до втрат у мільйон доларів, Глибина розслідування методів атаки

Оригінальна назва: «Очима не побачиш｜Аналіз фішингу на підроблених Zoom-зустрічах»

Оригінальне джерело: Slow Mist Technology

Редакційна записка: Нещодавно на ринку криптовалют знову почастішали випадки фішингу з використанням підроблених посилань на Zoom-зустрічі. Спочатку засновник EurekaTrading Куан Сун, довірившись фальшивому запрошенню на зустріч, після встановлення шкідливого плагіна став жертвою фішингової атаки на суму 13 мільйонів доларів. На щастя, протокол Venus терміново призупинив свою роботу, і за допомогою кількох команд безпеки врешті вдалося повернути кошти.

8 вересня засновник криптоторгової спільноти Fortune Collective Олександр Чой також опублікував повідомлення, в якому розкрив, що у приватних повідомленнях на платформі X він встановив контакт з фальшивими проектами, і під час спілкування випадково натиснув на шахрайське посилання, що маскувалося під зустріч, що призвело до збитків майже в 1 мільйон доларів. Чому фальшиві Zoom зустрічі продовжують досягати успіху? Як інвесторам уникнути цього, щоб зберегти свої кошти в безпеці? Ця стаття вперше була опублікована 27 грудня 2024 року, оригінал такий:

####фон

Нещодавно кілька користувачів на X повідомили про метод фішингу, який маскується під посилання на Zoom-зустріч, внаслідок чого один з постраждалих, натиснувши на шкідливе посилання Zoom, встановив шкідливе програмне забезпечення, що призвело до крадіжки криптоактивів з втратами в розмірі мільйон доларів. У цьому контексті команда безпеки Slow Mist провела аналіз таких фішингових інцидентів і методів атак, а також відстежила фінансові потоки хакерів.

!

()

####Аналіз риболовних посилань

Хакери використовують домен, схожий на «app[.]us4zoom[.]us», щоб замаскуватися під звичайне посилання на Zoom-зустріч, сторінка нагадує справжню зустріч Zoom, коли користувач натискає кнопку «Запустити зустріч», це призводить до завантаження шкідливого інсталяційного пакета, а не до запуску локального клієнта Zoom.

!

Через виявлення вище зазначеного домену, ми знайшли адресу журналів моніторингу хакера (https[:]//app[.]us4zoom[.]us/error_log).

!

Декодування виявило, що це запис журналу спроби скрипту надіслати повідомлення через API Telegram, при цьому використовується російська мова.

!

Цей сайт був запущений 27 днів тому, і хакери, можливо, є росіянами, які з 14 листопада почали шукати цілі для атаки, а потім через API Telegram відстежували, чи натискають цілі кнопку завантаження на фішинговій сторінці.

!

####Аналіз шкідливого ПЗ

Цей шкідливий файл установки має назву «ZoomApp_v.3.14.dmg», нижче наведено інтерфейс цього програмного забезпечення для фішингу Zoom, який спонукає користувачів виконувати шкідливий скрипт ZoomApp.file в Terminal, а також під час виконання процесу спонукає користувачів ввести пароль від локального комп'ютера.

!

Ось вміст виконання цього шкідливого файлу:

!

Після декодування вищезгаданого вмісту виявилося, що це шкідливий скрипт osascript.

!

Продовжуючи аналіз, виявили, що цей скрипт шукає прихований виконуваний файл з назвою «.ZoomApp» і запускає його локально. Ми провели дисковий аналіз оригінального інсталяційного пакета «ZoomApp_v.3.14.dmg» і виявили, що пакет дійсно приховує виконуваний файл з назвою «.ZoomApp».

!

####Аналіз зловмисних дій

#####Статичний аналіз

Ми завантажили цей бінарний файл на платформу аналізу загроз, і виявили, що цей файл вже був позначений як шкідливий.

!

()

За допомогою статичного дизасемблювання було проаналізовано вхідний код цього бінарного файлу на малюнку нижче, який використовується для розшифровки даних та виконання скриптів.

!

На нижньому зображенні показано частину даних, де можна помітити, що більшість інформації була зашифрована та закодована.

!

Після розшифровки даних було виявлено, що цей бінарний файл в кінцевому підсумку також виконує шкідливий скрипт osascript (повний код розшифровки вже поділений на:

Нижче наведено частину коду, яка перераховує інформацію про шляхи різних ідентифікаторів плагінів.

!

Нижче наведено частину коду для зчитування інформації з KeyChain комп'ютера.

!

Зловмисний код, зібравши системну інформацію, дані браузера, дані криптогаманця, дані Telegram, дані Notes та дані Cookie, стисне їх і надішле на сервер, контрольований хакером (141.98.9.20).

!

Оскільки зловмисне програмне забезпечення спонукає користувачів вводити паролі під час виконання, а наступні зловмисні скрипти також збирають дані KeyChain на комп'ютері (які можуть містити різні паролі, збережені користувачем на комп'ютері), хакери, зібравши ці дані, намагатимуться розшифрувати інформацію, отримати мнемонічну фразу гаманця користувача, приватний ключ та іншу чутливу інформацію, що призведе до крадіжки активів користувача.

За аналізом, IP-адреса хакерського сервера розташована в Нідерландах і наразі позначена платформою загроз як шкідлива.

!

()

#####Динамічний аналіз

Динамічне виконання цього шкідливого програмного забезпечення у віртуальному середовищі та аналіз процесу, нижче наведено інформацію про моніторинг процесів збору даних з локального комп'ютера та відправлення даних на бекенд.

!

!

####Аналіз MistTrack

Ми використовуємо інструмент трекінгу на блокчейні MistTrack, щоб проаналізувати адресу хакера, надану жертвою 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: адреса хакера отримала прибуток понад 1 мільйон доларів США, включаючи USD0++, MORPHO та ETH; з них USD0++ та MORPHO були обміняні на 296 ETH.

!

Згідно з MistTrack, адреса хакера отримувала невелику кількість ETH з адреси 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, ймовірно, для покриття комісії хакера. Ця адреса (0xb01c) має лише одне джерело доходу, але переказує невелику кількість ETH на майже 8,800 адрес, що, здається, є "платформою, що спеціалізується на наданні комісій".

!

Відібрати з адреси (0xb01c) об'єкти виводу, які помічені як шкідливі, пов'язані з двома фішинговими адресами, одна з яких помічена як Pink Drainer, розширити аналіз цих двох фішингових адрес, кошти в основному переведені на ChangeNOW та MEXC.

!

Далі проаналізовано ситуацію з виведенням вкрадених коштів, всього 296,45 ETH було переведено на нову адресу 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

!

Перша транзакція нового адреси (0xdfe7) відбулася в липні 2023 року, охоплюючи кілька ланцюгів, наразі баланс становить 32.81 ETH.

!

Основний шлях виведення ETH з нової адреси (0xdfe7) виглядає так:

· 200,79 ETH -> 0x19e0... 5c98f

· 63.03 ETH -> 0x41a2... 9С0Б

обміняти на 15,720 USDT

· 14.39 ETH -> Ворота

!

Вищезазначена розширена адреса пов'язана з виведенням коштів на кількох платформах, таких як Bybit, Cryptomus.com, Swapspace, Gate, MEXC, а також з кількома адресами, які були позначені MistTrack як Angel Drainer та Theft. Крім того, на даний момент на адресі 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 перебуває 99,96 ETH.

!

Новий адрес (0xdfe7) має також багато торгових слідів USDT, які були переведені на платформи Binance, MEXC, FixedFloat тощо.

!

####підсумок

Цей спосіб риболовлі полягає в тому, що хакери маскуються під звичайні посилання на Zoom-зустрічі, спокушаючи користувачів завантажити та виконати шкідливе програмне забезпечення. Шкідливе програмне забезпечення зазвичай має численні функції, такі як збір системної інформації, крадіжка даних браузера та отримання інформації про гаманці криптовалюти, і передає дані на сервери, контрольовані хакерами. Ці атаки зазвичай поєднують у собі соціально-інженерні атаки та техніки троянських атак, тому користувач, будучи неуважним, може потрапити в пастку. Команда безпеки Slow Mist рекомендує користувачам уважно перевіряти посилання на зустріч перед тим, як їх натискати, уникати виконання програм та команд з незрозумілих джерел, встановлювати антивірусне програмне забезпечення та регулярно оновлювати його. Для отримання додаткових знань про безпеку рекомендується прочитати «Посібник з порятунку з темного лісу блокчейну», випущений командою безпеки Slow Mist: