Cuộc họp giả Zoom lừa đảo gây thiệt hại triệu đô la, Độ sâu điều tra phương pháp tấn công

Tiêu đề gốc: "Nhìn thấy không phải là thật | Phân tích lừa đảo cuộc họp Zoom giả"

Nguồn gốc văn bản: Công nghệ Manh Sương

Lời biên tập: Gần đây, thị trường tiền điện tử lại xuất hiện nhiều vụ lừa đảo qua các liên kết cuộc họp Zoom giả mạo. Đầu tiên, người sáng lập EurekaTrading, Kuan Sun, đã bị tấn công lừa đảo trị giá 13 triệu đô la sau khi tin tưởng vào một lời mời tham gia cuộc họp giả và cài đặt một plugin độc hại. May mắn thay, giao thức Venus đã tạm ngừng hoạt động khẩn cấp và cuối cùng đã thành công trong việc thu hồi vốn với sự hỗ trợ của nhiều đội an ninh.

Vào ngày 8 tháng 9, người sáng lập cộng đồng giao dịch tiền điện tử Fortune Collective, Alexander Choi, cũng đã đăng bài tiết lộ rằng anh đã liên lạc với một dự án giả mạo qua tin nhắn riêng trên nền tảng X, và trong quá trình trao đổi đã vô tình nhấp vào liên kết lừa đảo được ngụy trang thành cuộc họp, dẫn đến thiệt hại gần 1 triệu USD. Tại sao các cuộc họp giả Zoom lại thường xuyên thành công? Nhà đầu tư nên làm gì để tránh, nhằm bảo vệ an toàn tài chính? Bài viết này được phát hành lần đầu vào ngày 27 tháng 12 năm 2024, nguyên văn như sau:

####Bối cảnh

Gần đây, nhiều người dùng trên X đã báo cáo về một phương thức tấn công lừa đảo giả mạo liên kết cuộc họp Zoom, trong đó một nạn nhân đã cài đặt phần mềm độc hại sau khi nhấp vào liên kết cuộc họp Zoom độc hại, dẫn đến việc bị đánh cắp tài sản tiền điện tử với mức thiệt hại lên tới hàng triệu đô la. Trong bối cảnh này, nhóm an ninh Slow Mist đã tiến hành phân tích các sự kiện lừa đảo và phương thức tấn công này, đồng thời theo dõi dòng tiền của hacker.

()

####Phân tích liên kết lừa đảo

Tin tặc đã sử dụng tên miền có hình dạng "app[.]us4zoom[.]us" để giả mạo liên kết cuộc họp Zoom bình thường, trang web rất giống với cuộc họp Zoom thật, khi người dùng nhấp vào nút "Khởi động cuộc họp", nó sẽ kích hoạt việc tải xuống gói cài đặt độc hại, thay vì khởi động ứng dụng Zoom cục bộ.

Thông qua việc phát hiện tên miền ở trên, chúng tôi đã phát hiện địa chỉ nhật ký giám sát của hacker (https[:]//app[.]us4zoom[.]us/error_log).

Giải mã phát hiện, đây là mục nhật ký khi kịch bản cố gắng gửi tin nhắn qua API Telegram, ngôn ngữ được sử dụng là tiếng Nga.

Trang web này đã được triển khai cách đây 27 ngày, tin tặc có thể là người Nga, và bắt đầu tìm kiếm mục tiêu từ ngày 14 tháng 11, sau đó theo dõi xem có mục tiêu nào nhấp vào nút tải xuống trên trang lừa đảo qua API Telegram.

####Phân tích phần mềm độc hại

Tập tin cài đặt độc hại này có tên là "ZoomApp_v.3.14.dmg", dưới đây là giao diện mà phần mềm lừa đảo Zoom mở ra, dụ dỗ người dùng thực hiện tập lệnh độc hại ZoomApp.file trong Terminal, và trong quá trình thực hiện còn dụ dỗ người dùng nhập mật khẩu máy tính.

Dưới đây là nội dung thực thi của tệp độc hại này:

Sau khi giải mã nội dung trên, phát hiện đây là một kịch bản osascript độc hại.

Tiếp tục phân tích cho thấy, kịch bản này tìm kiếm một tệp thực thi ẩn có tên là «.ZoomApp» và chạy nó trên máy tính cục bộ. Chúng tôi thực hiện phân tích đĩa trên gói cài đặt gốc «ZoomApp_v.3.14.dmg», phát hiện ra rằng gói cài đặt thực sự đã ẩn một tệp thực thi có tên là «.ZoomApp».

####Phân tích hành vi độc hại

#####Phân tích tĩnh

Chúng tôi đã tải tập tin nhị phân này lên nền tảng phân tích thông tin mối đe dọa và phát hiện rằng tập tin này đã được đánh dấu là tập tin độc hại.

()

Thông qua phân tích phản biên dịch tĩnh, hình dưới đây là mã nhập của tệp nhị phân này, dùng để giải mã dữ liệu và thực thi script.

Hình dưới đây là phần dữ liệu, có thể thấy phần lớn thông tin đã được mã hóa và mã hóa.

Qua việc giải mã dữ liệu, phát hiện ra rằng tệp nhị phân này cuối cùng cũng thực thi kịch bản osascript độc hại (mã giải mã hoàn chỉnh đã được chia sẻ tại:

Dưới đây là một phần mã liệt kê thông tin đường dẫn của các ID plugin khác nhau.

Hình dưới là một phần mã để đọc thông tin KeyChain của máy tính.

Mã độc sau khi thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví mã hóa, dữ liệu Telegram, dữ liệu ghi chú và dữ liệu cookie sẽ nén chúng lại và gửi tới máy chủ do hacker kiểm soát (141.98.9.20).

Do vì phần mềm độc hại thường dụ dỗ người dùng nhập mật khẩu trong quá trình chạy, và các tập lệnh độc hại sau đó cũng sẽ thu thập dữ liệu KeyChain trên máy tính (có thể bao gồm nhiều mật khẩu mà người dùng đã lưu trên máy tính), hacker sau khi thu thập sẽ cố gắng giải mã dữ liệu, lấy được cụm từ khôi phục ví, khóa riêng và các thông tin nhạy cảm khác của người dùng, từ đó đánh cắp tài sản của người dùng.

Theo phân tích, địa chỉ IP của máy chủ hacker nằm ở Hà Lan, hiện đã được nền tảng tình báo mối đe dọa đánh dấu là độc hại.

()

#####Phân tích động

Thực thi động chương trình độc hại trong môi trường ảo và phân tích quy trình, hình dưới đây là thông tin giám sát quy trình thu thập dữ liệu máy tính và gửi dữ liệu đến máy chủ.

####Phân tích MistTrack

Chúng tôi sử dụng công cụ theo dõi trên chuỗi MistTrack để phân tích địa chỉ hacker mà nạn nhân cung cấp 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: Địa chỉ hacker đã thu lợi trên 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH; trong đó, USD0++ và MORPHO được đổi thành 296 ETH.

Theo MistTrack, địa chỉ hacker đã nhận được một ít ETH chuyển từ địa chỉ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, nghi ngờ là để cung cấp phí giao dịch cho địa chỉ hacker. Địa chỉ này (0xb01c) chỉ có một nguồn thu nhập duy nhất nhưng đã chuyển một ít ETH đến gần 8,800 địa chỉ, dường như là một "nền tảng chuyên cung cấp phí giao dịch."

Lọc địa chỉ (0xb01c) trong danh sách đối tượng chuyển nhượng bị đánh dấu là địa chỉ độc hại, liên quan đến hai địa chỉ lừa đảo, trong đó một địa chỉ được đánh dấu là Pink Drainer, phân tích mở rộng hai địa chỉ lừa đảo này, vốn chủ yếu được chuyển đến ChangeNOW và MEXC.

Tiếp theo, phân tích tình hình chuyển tiền bị đánh cắp, tổng cộng 296,45 ETH đã được chuyển đến địa chỉ mới 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Giao dịch đầu tiên của địa chỉ mới (0xdfe7) diễn ra vào tháng 7 năm 2023, liên quan đến nhiều chuỗi, hiện tại số dư là 32.81 ETH.

Địa chỉ mới (0xdfe7) đường chuyển ETH chính như sau:

0x19e0…5c98f

0x41a2…9c0b

đổi thành 15,720 USDT

Gate

Các địa chỉ mở rộng trên liên quan đến việc chuyển tiền ra sau này với nhiều nền tảng như Bybit, Cryptomus.com, Swapspace, Gate, MEXC và có liên quan đến nhiều địa chỉ bị MistTrack đánh dấu là Angel Drainer và Theft. Ngoài ra, hiện có 99.96 ETH đang ở lại tại địa chỉ 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Vết giao dịch USDT của địa chỉ mới (0xdfe7) cũng rất nhiều, đã được chuyển ra các nền tảng như Binance, MEXC, FixedFloat.

####tóm tắt

Trong lần chia sẻ này, cách thức lừa đảo là hacker giả mạo thành liên kết cuộc họp Zoom bình thường, dụ dỗ người dùng tải xuống và thực thi phần mềm độc hại. Phần mềm độc hại thường có nhiều chức năng gây hại như thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và lấy thông tin ví tiền điện tử, và truyền dữ liệu đến máy chủ do hacker kiểm soát. Loại tấn công này thường kết hợp giữa tấn công kỹ thuật xã hội và kỹ thuật Trojan, người dùng chỉ cần một chút bất cẩn là có thể bị mắc bẫy. Nhóm an ninh Slow Mist khuyên người dùng nên cẩn thận xác minh trước khi nhấp vào liên kết cuộc họp, tránh thực thi phần mềm và lệnh không rõ nguồn gốc, cài đặt phần mềm diệt virus và thường xuyên cập nhật. Để biết thêm kiến thức về an ninh, hãy đọc cuốn "Hướng dẫn tự cứu trong rừng tối của blockchain" do nhóm an ninh Slow Mist xuất bản: