Falsos enlaces de reunião Zoom provocam um grande roubo de Ativos de criptografia
Recentemente, vários usuários relataram uma técnica de ataque de phishing disfarçada de enlace de reunião do Zoom. Uma vítima teve seus ativos de criptografia roubados após clicar no enlace malicioso e instalar o software, resultando em perdas de até um milhão de dólares. Em resposta a este incidente, a equipe de segurança realizou uma análise aprofundada, rastreando o fluxo de fundos dos hackers.
Análise de enlaces de phishing
Hackers usam domínios semelhantes a "app.us4zoom.us" para se disfarçar de links normais de reunião do Zoom. A página é altamente semelhante à interface real da reunião do Zoom, e quando os usuários clicam no botão "Iniciar reunião", um download de pacote malicioso é acionado, em vez de iniciar o cliente local do Zoom.
Através da sondagem do domínio, foi encontrado o endereço dos logs de monitoramento dos hackers. Após a encriptação, descobriu-se que este é o registro de logs de um script que tenta enviar mensagens através da API do Telegram, utilizando a língua russa. O site está ativo há 27 dias, e os hackers podem ser russos, tendo começado a procurar alvos para implantar malware a partir de 14 de novembro, e depois monitorar através da API do Telegram se o alvo clica no botão de download da página de phishing.
Análise de malware
O nome do arquivo do pacote de instalação malicioso é "ZoomApp_v.3.14.dmg". Ao abrir, irá induzir o usuário a executar o script malicioso ZoomApp.file no Terminal e solicitar a senha local.
Após decodificar o conteúdo da execução de um arquivo malicioso, descobrimos que se trata de um script malicioso osascript. Este script procura e executa um arquivo executável oculto chamado ".ZoomApp". Após uma análise do disco do pacote de instalação original, de fato encontramos este arquivo executável oculto.
Análise de Comportamento Malicioso
Análise estática
Carregue o arquivo binário para a plataforma de inteligência de ameaças para análise, foi marcado como um arquivo malicioso. Através da análise de desmontagem estática, foi descoberto que o código de entrada é utilizado para a decriptação de dados e execução de scripts. A parte de dados é em grande parte encriptada e codificada.
Após a decriptação, descobriu-se que o arquivo binário executa um script osascript malicioso, que coleta informações do dispositivo do usuário e as envia para o back-end. O script enumera diferentes informações de caminhos de ID de plugins, lê informações do KeyChain do computador, coleta informações do sistema, dados do navegador, dados da carteira de encriptação, dados do Telegram, dados de notas do Notes e dados de Cookies, entre outros.
As informações coletadas serão compactadas e enviadas para um servidor controlado por hackers. Como o malware induz o usuário a inserir sua senha enquanto está em execução e coleta dados do KeyChain, os hackers podem obter as frases de recuperação da carteira, chaves privadas e outras informações sensíveis, resultando no roubo de ativos.
O endereço IP do servidor hacker está localizado na Holanda e foi marcado como malicioso pela plataforma de inteligência de ameaças.
Análise Dinâmica
Na execução dinâmica deste programa malicioso em um ambiente virtual e analisando o processo, observou-se que o programa malicioso coleta dados da máquina local e envia informações de monitoramento de processos para o back-end.
Análise de Fluxo de Capital
Analisando o endereço do hacker fornecido pela vítima, descobrimos que o hacker obteve lucros superiores a 1 milhão de dólares, incluindo USD0++, MORPHO e ETH. Dentre eles, USD0++ e MORPHO foram trocados por 296 ETH.
O endereço do hacker recebeu pequenas transferências de ETH, suspeitando-se que fosse para fornecer taxas de serviço. O endereço de origem dos fundos transferiu pequenas quantidades de ETH para quase 8.800 endereços, podendo ser uma "plataforma especializada em fornecer taxas de serviço".
296,45 ETH dos fundos roubados foram transferidos para um novo endereço. Este endereço envolve várias cadeias, e o saldo atual é de 32,81 ETH. As principais rotas de saída do ETH incluem transferências para vários endereços, parte convertida em USDT, e transferências para exchanges como a Gate.
Esses endereços de extensão estão relacionados a transferências subsequentes com várias plataformas de negociação, como Bybit, Cryptomus.com, Swapspace, Gate e MEXC, e também estão associados a vários endereços marcados como Angel Drainer e Theft. Parte do ETH ainda permanece em um determinado endereço.
Os vestígios da transação USDT mostram que os fundos foram transferidos para plataformas como Binance, MEXC, FixedFloat, entre outras.
Recomendações de segurança
Este tipo de ataque combina técnicas de engenharia social e de trojan, e os usuários devem estar especialmente atentos. Recomenda-se verificar cuidadosamente antes de clicar no enlace da reunião, evitar executar software e comandos de origem desconhecida, instalar software antivírus e atualizar regularmente. Os usuários podem consultar manuais de segurança relevantes para aumentar sua conscientização e capacidade de proteção em segurança na internet.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 gostos
Recompensa
8
3
Partilhar
Comentar
0/400
consensus_whisperer
· 12h atrás
Clássico! É mais um desses velhos truques.
Ver originalResponder0
DegenRecoveryGroup
· 12h atrás
É o imposto de QI, quem mandou você clicar?
Ver originalResponder0
DefiSecurityGuard
· 12h atrás
*suspiro* mais um dia, mais um vetor de exploração... engenharia social clássica através de spoofing de domínio. ngmi se você ainda está a cair nestes
Links falsos do Zoom provocam roubo de ativos de criptografia na ordem de milhões de dólares; fluxo de fundos do hacker exposto.
Falsos enlaces de reunião Zoom provocam um grande roubo de Ativos de criptografia
Recentemente, vários usuários relataram uma técnica de ataque de phishing disfarçada de enlace de reunião do Zoom. Uma vítima teve seus ativos de criptografia roubados após clicar no enlace malicioso e instalar o software, resultando em perdas de até um milhão de dólares. Em resposta a este incidente, a equipe de segurança realizou uma análise aprofundada, rastreando o fluxo de fundos dos hackers.
Análise de enlaces de phishing
Hackers usam domínios semelhantes a "app.us4zoom.us" para se disfarçar de links normais de reunião do Zoom. A página é altamente semelhante à interface real da reunião do Zoom, e quando os usuários clicam no botão "Iniciar reunião", um download de pacote malicioso é acionado, em vez de iniciar o cliente local do Zoom.
Através da sondagem do domínio, foi encontrado o endereço dos logs de monitoramento dos hackers. Após a encriptação, descobriu-se que este é o registro de logs de um script que tenta enviar mensagens através da API do Telegram, utilizando a língua russa. O site está ativo há 27 dias, e os hackers podem ser russos, tendo começado a procurar alvos para implantar malware a partir de 14 de novembro, e depois monitorar através da API do Telegram se o alvo clica no botão de download da página de phishing.
Análise de malware
O nome do arquivo do pacote de instalação malicioso é "ZoomApp_v.3.14.dmg". Ao abrir, irá induzir o usuário a executar o script malicioso ZoomApp.file no Terminal e solicitar a senha local.
Após decodificar o conteúdo da execução de um arquivo malicioso, descobrimos que se trata de um script malicioso osascript. Este script procura e executa um arquivo executável oculto chamado ".ZoomApp". Após uma análise do disco do pacote de instalação original, de fato encontramos este arquivo executável oculto.
Análise de Comportamento Malicioso
Análise estática
Carregue o arquivo binário para a plataforma de inteligência de ameaças para análise, foi marcado como um arquivo malicioso. Através da análise de desmontagem estática, foi descoberto que o código de entrada é utilizado para a decriptação de dados e execução de scripts. A parte de dados é em grande parte encriptada e codificada.
Após a decriptação, descobriu-se que o arquivo binário executa um script osascript malicioso, que coleta informações do dispositivo do usuário e as envia para o back-end. O script enumera diferentes informações de caminhos de ID de plugins, lê informações do KeyChain do computador, coleta informações do sistema, dados do navegador, dados da carteira de encriptação, dados do Telegram, dados de notas do Notes e dados de Cookies, entre outros.
As informações coletadas serão compactadas e enviadas para um servidor controlado por hackers. Como o malware induz o usuário a inserir sua senha enquanto está em execução e coleta dados do KeyChain, os hackers podem obter as frases de recuperação da carteira, chaves privadas e outras informações sensíveis, resultando no roubo de ativos.
O endereço IP do servidor hacker está localizado na Holanda e foi marcado como malicioso pela plataforma de inteligência de ameaças.
Análise Dinâmica
Na execução dinâmica deste programa malicioso em um ambiente virtual e analisando o processo, observou-se que o programa malicioso coleta dados da máquina local e envia informações de monitoramento de processos para o back-end.
Análise de Fluxo de Capital
Analisando o endereço do hacker fornecido pela vítima, descobrimos que o hacker obteve lucros superiores a 1 milhão de dólares, incluindo USD0++, MORPHO e ETH. Dentre eles, USD0++ e MORPHO foram trocados por 296 ETH.
O endereço do hacker recebeu pequenas transferências de ETH, suspeitando-se que fosse para fornecer taxas de serviço. O endereço de origem dos fundos transferiu pequenas quantidades de ETH para quase 8.800 endereços, podendo ser uma "plataforma especializada em fornecer taxas de serviço".
296,45 ETH dos fundos roubados foram transferidos para um novo endereço. Este endereço envolve várias cadeias, e o saldo atual é de 32,81 ETH. As principais rotas de saída do ETH incluem transferências para vários endereços, parte convertida em USDT, e transferências para exchanges como a Gate.
Esses endereços de extensão estão relacionados a transferências subsequentes com várias plataformas de negociação, como Bybit, Cryptomus.com, Swapspace, Gate e MEXC, e também estão associados a vários endereços marcados como Angel Drainer e Theft. Parte do ETH ainda permanece em um determinado endereço.
Os vestígios da transação USDT mostram que os fundos foram transferidos para plataformas como Binance, MEXC, FixedFloat, entre outras.
Recomendações de segurança
Este tipo de ataque combina técnicas de engenharia social e de trojan, e os usuários devem estar especialmente atentos. Recomenda-se verificar cuidadosamente antes de clicar no enlace da reunião, evitar executar software e comandos de origem desconhecida, instalar software antivírus e atualizar regularmente. Os usuários podem consultar manuais de segurança relevantes para aumentar sua conscientização e capacidade de proteção em segurança na internet.