Firma SlowMist na zabezpečení blockchainu odhalila phishingový podvod zaměřený na uživatele kryptoměn, kteří používali falešné odkazy na schůzky Zoom jako metodu distribuce malwaru a krádeže cílových kryptoměnových aktiv.
Hackeři používají sofistikované techniky ke krádeži soukromých klíčů, dat peněženek a dalších citlivých informací, což má za následek značné finanční ztráty pro oběti. Útočníci použili phishingovou doménu, která napodobovala legitimní doménu Zoom, „app[.] us4zoom[.] us.“, uvedl SlowMist 27. prosince.
Zdroj: SlowMist
Podvodná stránka ilustrovala rozhraní Zoomu a přiměla uživatele, aby stiskli tlačítko „Spustit schůzku“. Tlačítko neotevřelo aplikaci Zoom; začal stahovat škodlivý instalační balíček s názvem „ZoomApp_v.3. 14. dmg.“ Po instalaci tento balíček spustil skript s názvem „ZoomApp.file“, který požádal uživatele, aby vložili své systémové heslo.
⚠️Dejte si pozor na phishingové útoky maskované jako odkazy na schůzku Zoom!🎣 Hackeři shromažďují uživatelská data a dešifrují je, aby ukradli citlivé informace, jako jsou mnemotechnické fráze a soukromé klíče. Tyto útoky často kombinují sociální inženýrství a techniky trojských koní. Přečtěte si naši úplnou analýzu⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27. prosince 2024
Po analýze SlowMist oznámil, že skript zavolal skrytý spustitelný soubor k nasazení s názvem „.ZoomApp“. Aplikace se pokusila získat přístup k datům, jako jsou systémové informace, soubory cookie prohlížeče, data KeyChain a přihlašovací údaje kryptoměnové peněženky. Zkomprimovaná data byla poté přenesena na server pod kontrolou hackerů, spojený s IP adresou 141.98.9.20, která byla několika zpravodajskými službami označena jako škodlivá.
Také by se vám mohlo líbit: Kryptopodvody s porážkou prasat letos vymazaly 3,6 miliardy dolarů: zpráva
Malware, identifikovaný jako trojský kůň, byl poté podroben statické analýze a dynamické analýze, které ukázaly, že software byl také schopen spouštět skripty, které dešifrovaly data, vyjmenovaly cesty z ID pluginu a extrahovaly přihlašovací údaje uložené na zařízení oběti. To mimo jiné zahrnovalo uložená hesla, podrobnosti o kryptoměnové peněžence a citlivé údaje o telegramu. To útočníkům umožnilo získat mnemotechnické fráze peněženky a soukromé klíče, což usnadnilo krádeže velkého množství kryptoměny.
Back-endový systém útočníků, který se nachází v Nizozemsku, sledoval interakce uživatelů prostřednictvím rozhraní Telegram API se známkami, že používali skripty v ruském jazyce. Phishingová kampaň byla spuštěna 14. listopadu 2024 a již se pokusila ukrást miliony dolarů v krypto od různých uživatelů.
Zoomový podvod na řetězci Ethereum
SlowMist sledoval převod finančních prostředků v řetězci pomocí nástroje proti praní špinavých peněz, MistTrack. Zisk více než 1 milion dolarů byl mezi adresami jednoho z hackerů, kde byly kryptoměny USD0++ a MORPHO převedeny na 296 Ethereum (ETH). Ukradené peníze byly převedeny na řadu platforem, včetně Binance, Gate.io, Bybit a MEXC. Další adresa, která sloužila k malým převodům ETH na celkem 8 800 adres, byla zahrnuta pro placení transakčních poplatků.
Také by se vám mohlo líbit: Podvodníci získali více než 500 000 $ z více než 15 x porušení
Blockchain analýza sledující aktivitu krádeží Etherea a ilustrující tok ukradených finančních prostředků napříč peněženkami a platformami. Zdroj: SlowMist
Tento ukradený ETH byl později agregován na jinou adresu s převody na několik dalších stránek, včetně burz, jako je FixedFloat a Binance, kde byl převeden na Tether (USDT) a další kryptoměny.
Čtěte více: Americký hacker čelí 20 letům vězení za krádež kryptoměn ve výši 37 milionů dolarů
