This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
偽のZoomリンクが引き起こした百万ドル規模の暗号資産盗難 ハッカー資金の流れが暴露される
偽のZoomミーティングリンクが引き起こした大規模な暗号資産盗難事件
最近、複数のユーザーがZoom会議リンクに偽装したフィッシング攻撃手法を報告しました。ある被害者は悪意のあるリンクをクリックしてソフトウェアをインストールした後、暗号資産が盗まれ、損失は100万ドルに達しました。この事件に対して、安全チームは深い分析を行い、ハッカーの資金の流れを追跡しました。
フィッシングリンク分析
ハッカーは「app.us4zoom.us」のようなドメインを使用して、通常のZoom会議リンクに偽装しています。ページは本物のZoom会議インターフェースと非常に似ており、ユーザーが「会議を開始」ボタンをクリックすると、ローカルのZoomクライアントを起動するのではなく、悪意のあるインストールパッケージのダウンロードがトリガーされます。
このドメインの探索を通じて、ハッカーの監視ログアドレスが発見されました。復号化の結果、これはスクリプトがTelegram APIを通じてメッセージを送信しようとするログ記録であり、使用されている言語はロシア語です。このサイトは稼働開始から27日が経過しており、ハッカーはロシア人である可能性があり、11月14日からターゲットに対してマルウェアを投下する目標を探し始め、その後Telegram APIを通じてターゲットがフィッシングページのダウンロードボタンをクリックしたかどうかを監視していると思われます。
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
マルウェア分析
悪意のインストールパッケージのファイル名は"ZoomApp_v.3.14.dmg"です。開くと、ユーザーにTerminalでZoomApp.fileの悪意のあるスクリプトを実行させるよう誘導し、ローカルのパスワードの入力を求めます。
悪意のあるファイルの実行内容をデコードした結果、これは悪意のあるosascriptスクリプトであることが判明しました。このスクリプトは、".ZoomApp"という名前の隠し実行ファイルを探して実行します。元のインストールパッケージをディスク分析したところ、確かにこの隠し実行ファイルが見つかりました。
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoom会議のフィッシング分析
悪意のある行動の分析
静的解析
バイナリファイルを脅威インテリジェンスプラットフォームにアップロードして分析したところ、悪意のあるファイルとしてマークされました。静的逆アセンブリ分析によって、エントリコードがデータの復号化とスクリプトの実行に使用されていることが判明しました。データ部分はほとんど暗号化され、エンコードされています。
復号化の結果、このバイナリファイルは最終的に悪意のあるosascriptスクリプトを実行し、このスクリプトはユーザーのデバイス情報を収集してバックグラウンドに送信します。スクリプトは異なるプラグインIDのパス情報を列挙し、コンピュータのKeyChain情報を読み取り、システム情報、ブラウザデータ、暗号通貨ウォレットデータ、Telegramデータ、Notesメモデータ、Cookieデータなどを収集します。
収集された情報は圧縮され、ハッカーが制御するサーバーに送信されます。悪意のあるプログラムが実行中にユーザーにパスワードの入力を促し、KeyChainデータを収集するため、ハッカーはユーザーのウォレットのリカバリーフレーズ、秘密鍵などの敏感な情報を取得し、資産を盗む可能性があります。
ハッカーサーバーのIPアドレスはオランダにあり、脅威インテリジェンスプラットフォームによって悪意のあるものとしてマークされています。
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 【100万ドル以上の損失、偽のZoomミーティングフィッシング分析】(https://img-cdn.gateio.im/webp-social/moments-7ac0c9d846ac2266f60fa9cd3c4a1abf.webp)
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoom会議のフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 【100万ドル以上の損失、偽のZoomミーティングフィッシング分析】(https://img-cdn.gateio.im/webp-social/moments-e642d37c2ddf2155e0d4242054eb39c1.webp)
動的解析
仮想環境でこのマルウェアを動的に実行し、プロセスを分析すると、マルウェアがローカルデータを収集し、バックエンドにデータを送信するプロセスの監視情報が観察されました。
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
資金の流れの分析
分析された被害者が提供したハッカーのアドレスを調べたところ、ハッカーは100万米ドルを超える利益を得ており、USD0++、MORPHO、ETHが含まれています。その中で、USD0++とMORPHOは296 ETHに交換されました。
ハッカーのアドレスは小額のETHの送金を受け取ったことがあり、手数料を提供するためのものと疑われています。資金の出所アドレスは近く8,800のアドレスに小額のETHを送金しており、これは「手数料を専門に提供するプラットフォーム」である可能性があります。
盗まれた資金の中の296.45 ETHが新しいアドレスに移転されました。このアドレスは複数のチェーンに関与しており、現在の残高は32.81 ETHです。主なETHの転出経路には、複数のアドレスへの送金、いくつかがUSDTに交換されること、そしてGateなどの取引所への入金が含まれます。
これらの拡張アドレスの後続の出金は、Bybit、Cryptomus.com、Swapspace、Gate、MEXCなどの複数の取引プラットフォームと関連しており、Angel DrainerおよびTheftとしてマークされた複数のアドレスとも関連しています。一部のETHは依然としてあるアドレスに留まっています。
USDTの取引痕跡が示すところによると、資金はBinance、MEXC、FixedFloatなどのプラットフォームに転送されました。
! 100万ドル以上の損失、偽のZoom会議のフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 【100万ドル以上の損失、偽のZoomミーティングフィッシング分析】(https://img-cdn.gateio.im/webp-social/moments-54d5404204a7f4c496af9ae65ed7b156.webp)
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
! 【100万ドル以上の損失、偽のZoomミーティングフィッシング分析】(https://img-cdn.gateio.im/webp-social/moments-ca0c966a68673ae5c97b283cc95f8981.webp)
! 100万ドル以上の損失、偽のZoom会議のフィッシング分析
! 100万ドル以上の損失、偽のZoomミーティングフィッシング分析
セキュリティの推奨
この種の攻撃は、ソーシャルエンジニアリング攻撃とトロイの木馬攻撃技術を組み合わせたもので、ユーザーは特に警戒する必要があります。会議のリンクをクリックする前に、慎重に確認することをお勧めします。不明なソフトウェアやコマンドを実行しないようにし、ウイルス対策ソフトをインストールして定期的に更新してください。ユーザーは関連するセキュリティマニュアルを参考にして、自身のネットワークセキュリティ意識と防護能力を高めることができます。