假冒Zoom會議連結引發大規模加密貨幣盜竊事件

近期，多位用戶報告了一種僞裝成 Zoom 會議連結的釣魚攻擊手法。一名受害者在點擊惡意連結並安裝軟件後，加密資產被盜，損失高達百萬美元。針對這一事件，安全團隊展開了深入分析，追蹤了黑客的資金流向。

釣魚連結分析

黑客使用類似"app.us4zoom.us"的域名僞裝成正常 Zoom 會議連結。頁面與真實 Zoom 會議界面高度相似，當用戶點擊"啓動會議"按鈕時，會觸發惡意安裝包下載，而非啓動本地 Zoom 客戶端。

通過對該域名的探測，發現了黑客的監控日志地址。解密後發現，這是腳本嘗試通過 Telegram API 發送消息的日志記錄，使用的語言爲俄語。該站點已部署上線27天，黑客可能是俄羅斯人，並從11月14日開始尋找目標投放惡意軟件，然後通過 Telegram API 監控目標是否點擊釣魚頁面的下載按鈕。

惡意軟件分析

惡意安裝包文件名爲"ZoomApp_v.3.14.dmg"。打開後會誘導用戶在 Terminal 中執行 ZoomApp.file 惡意腳本，並要求輸入本機密碼。

對惡意文件的執行內容進行解碼後，發現這是一個惡意的 osascript 腳本。該腳本會查找並運行一個名爲".ZoomApp"的隱藏可執行文件。對原始安裝包進行磁盤分析，確實發現了這個隱藏的可執行文件。

惡意行爲分析

靜態分析

將二進制文件上傳到威脅情報平台分析，已被標記爲惡意文件。通過靜態反匯編分析，發現入口代碼用於數據解密和腳本執行。數據部分大多經過加密和編碼。

解密後發現，該二進制文件最終執行惡意的 osascript 腳本，該腳本會收集用戶設備信息並發送到後臺。腳本會枚舉不同插件ID路徑信息，讀取電腦 KeyChain 信息，採集系統信息、瀏覽器數據、加密錢包數據、Telegram 數據、Notes 筆記數據和 Cookie 數據等。

採集的信息會被壓縮並發送至黑客控制的服務器。由於惡意程序在運行時誘導用戶輸入密碼，並採集 KeyChain 數據，黑客可能獲得用戶的錢包助記詞、私鑰等敏感信息，從而盜取資產。

黑客服務器的 IP 地址位於荷蘭，已被威脅情報平台標記爲惡意。

動態分析

在虛擬環境下動態執行該惡意程序並分析進程，觀察到惡意程序採集本機數據和發送數據到後臺的進程監控信息。

資金流向分析

分析受害者提供的黑客地址發現，黑客獲利超100萬美金，包括USD0++、MORPHO和ETH。其中，USD0++和MORPHO被兌換爲296 ETH。

黑客地址曾收到小額ETH轉帳，疑似爲提供手續費。資金來源地址向近8,800個地址轉出小額ETH，可能是一個"專門提供手續費的平台"。

被盜資金中的296.45 ETH被轉移到新地址。該地址涉及多條鏈，目前餘額爲32.81 ETH。主要的ETH轉出路徑包括向多個地址轉帳，部分兌換爲USDT，以及轉入Gate.io等交易所。

這些擴展地址後續的轉出與多個交易平台如Bybit、Cryptomus.com、Swapspace、Gate.io、MEXC關聯，且與被標記爲Angel Drainer和Theft的多個地址相關。部分ETH仍停留在某個地址上。

USDT交易痕跡顯示，資金被轉出到Binance、MEXC、FixedFloat等平台。

安全建議

這類攻擊結合了社會工程學攻擊和木馬攻擊技術，用戶需格外警惕。建議在點擊會議連結前仔細驗證，避免執行來源不明的軟件和命令，安裝殺毒軟件並定期更新。用戶可參考相關安全手冊，提高自身的網路安全意識和防護能力。