假冒Zoom会议链接引发大规模加密货币盗窃事件

近期，多位用户报告了一种伪装成 Zoom 会议链接的钓鱼攻击手法。一名受害者在点击恶意链接并安装软件后，加密资产被盗，损失高达百万美元。针对这一事件，安全团队展开了深入分析，追踪了黑客的资金流向。

钓鱼链接分析

黑客使用类似"app.us4zoom.us"的域名伪装成正常 Zoom 会议链接。页面与真实 Zoom 会议界面高度相似，当用户点击"启动会议"按钮时，会触发恶意安装包下载，而非启动本地 Zoom 客户端。

通过对该域名的探测，发现了黑客的监控日志地址。解密后发现，这是脚本尝试通过 Telegram API 发送消息的日志记录，使用的语言为俄语。该站点已部署上线27天，黑客可能是俄罗斯人，并从11月14日开始寻找目标投放恶意软件，然后通过 Telegram API 监控目标是否点击钓鱼页面的下载按钮。

恶意软件分析

恶意安装包文件名为"ZoomApp_v.3.14.dmg"。打开后会诱导用户在 Terminal 中执行 ZoomApp.file 恶意脚本，并要求输入本机密码。

对恶意文件的执行内容进行解码后，发现这是一个恶意的 osascript 脚本。该脚本会查找并运行一个名为".ZoomApp"的隐藏可执行文件。对原始安装包进行磁盘分析，确实发现了这个隐藏的可执行文件。

恶意行为分析

静态分析

将二进制文件上传到威胁情报平台分析，已被标记为恶意文件。通过静态反汇编分析，发现入口代码用于数据解密和脚本执行。数据部分大多经过加密和编码。

解密后发现，该二进制文件最终执行恶意的 osascript 脚本，该脚本会收集用户设备信息并发送到后台。脚本会枚举不同插件ID路径信息，读取电脑 KeyChain 信息，采集系统信息、浏览器数据、加密钱包数据、Telegram 数据、Notes 笔记数据和 Cookie 数据等。

采集的信息会被压缩并发送至黑客控制的服务器。由于恶意程序在运行时诱导用户输入密码，并采集 KeyChain 数据，黑客可能获得用户的钱包助记词、私钥等敏感信息，从而盗取资产。

黑客服务器的 IP 地址位于荷兰，已被威胁情报平台标记为恶意。

动态分析

在虚拟环境下动态执行该恶意程序并分析进程，观察到恶意程序采集本机数据和发送数据到后台的进程监控信息。

资金流向分析

分析受害者提供的黑客地址发现，黑客获利超100万美金，包括USD0++、MORPHO和ETH。其中，USD0++和MORPHO被兑换为296 ETH。

黑客地址曾收到小额ETH转账，疑似为提供手续费。资金来源地址向近8,800个地址转出小额ETH，可能是一个"专门提供手续费的平台"。

被盗资金中的296.45 ETH被转移到新地址。该地址涉及多条链，目前余额为32.81 ETH。主要的ETH转出路径包括向多个地址转账，部分兑换为USDT，以及转入Gate.io等交易所。

这些扩展地址后续的转出与多个交易平台如Bybit、Cryptomus.com、Swapspace、Gate.io、MEXC关联，且与被标记为Angel Drainer和Theft的多个地址相关。部分ETH仍停留在某个地址上。

USDT交易痕迹显示，资金被转出到Binance、MEXC、FixedFloat等平台。

安全建议

这类攻击结合了社会工程学攻击和木马攻击技术，用户需格外警惕。建议在点击会议链接前仔细验证，避免执行来源不明的软件和命令，安装杀毒软件并定期更新。用户可参考相关安全手册，提高自身的网络安全意识和防护能力。