Původní název článku: (Oči vidí, co neexistuje | Analýza phishingu na falešných Zoom schůzkách)
Původní zdroj: SlowMist Technology
Pozadí
Nedávno několik uživatelů na X hlásilo phishingový útok, který se maskuje jako odkaz na Zoom schůzku, přičemž jedna oběť nainstalovala škodlivý software po kliknutí na škodlivý odkaz na Zoom schůzku, což vedlo ke krádeži kryptoměny v hodnotě milionů dolarů. V tomto kontextu tým SlowMist analyzoval tyto phishingové incidenty a útočné techniky a sledoval tok peněz hackerů.
(https://x.com/lsp8940/status/1871350801270296709)
Analýza phishingových odkazů
Hackeři používají doménu podobnou „app[.]us4zoom[.]us“ k maskování jako normální odkazy na Zoom schůzky, stránka je velmi podobná skutečné Zoom schůzce, když uživatel klikne na tlačítko „Spustit schůzku“, spustí se stahování škodlivého instalačního balíčku namísto spuštění místního klienta Zoom.
Prostřednictvím detekce výše uvedené domény jsme objevili adresu hackerských sledovacích protokolů (https[:]//app[.]us4zoom[.]us/error_log).
Dekódováním jsme zjistili, že to jsou záznamy pokusu skriptu o odeslání zprávy prostřednictvím API Telegramu, jazyk použitý je ruština.
Tato stránka byla nasazena před 27 dny, hackeři mohou být Rusové a od 14. listopadu začali hledat cíle, a poté prostřednictvím API Telegramu sledovali, zda cíle klikají na tlačítko pro stažení phishingové stránky.
Analýza škodlivého softwaru
Tento škodlivý instalační balíček má název „ZoomApp_v.3.14.dmg“, níže je zobrazeno rozhraní tohoto phishingového softwaru Zoom, které vmanipulovává uživatele, aby v Terminálu vykonali škodlivý skript ZoomApp.file a během procesu je také vyzývá k zadání hesla počítače.
Níže je uveden obsah vykonání tohoto škodlivého souboru:
Po dekódování výše uvedeného obsahu jsme zjistili, že se jedná o škodlivý skript osascript.
Pokračující analýza ukazuje, že skript hledá skrytý spustitelný soubor pojmenovaný „.ZoomApp“ a spouští ho lokálně. Při analýze původního instalačního balíčku „ZoomApp_v.3.14.dmg“ jsme zjistili, že balíček skutečně skrývá spustitelný soubor pojmenovaný „.ZoomApp“.
Analýza škodlivého chování
Statická analýza
Nahráli jsme tento binární soubor na platformu pro analýzu hrozeb a zjistili jsme, že byl označen jako škodlivý soubor.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Pomocí statické analýzy assembleru je níže uveden obraz vstupního kódu tohoto binárního souboru, který slouží k dešifrování dat a vykonávání skriptů.
Níže je uvedena část dat, většina informací byla šifrována a kódována.
Po dešifrování dat jsme zjistili, že tento binární soubor také vykonává škodlivý skript osascript (kompletní dešifrovací kód byl sdílen: https://pastebin.com/qRYQ44xa), tento skript sbírá informace z zařízení uživatele a odesílá je na server.
Níže je uveden část kódu, která enumeruje informace o různých ID pluginů.
Níže je uvedena část kódu pro čtení informací z KeyChain počítače.
Škodlivý kód po sběru systémových informací, dat prohlížeče, dat kryptoměnové peněženky, dat Telegramu, dat Notes a dat Cookie, je komprimuje a odesílá na server ovládaný hackery (141.98.9.20).
Protože škodlivý program při spuštění vyzývá uživatele k zadání hesla a následné škodlivé skripty sbírají data KeyChain v počítači (mohou obsahovat různé hesla uložená na počítači), hackeři po sběru se pokusí dešifrovat data a získat citlivé informace, jako jsou mnemonické fráze peněženky a soukromé klíče, a tím ukrást uživatelovy prostředky.
Podle analýzy je IP adresa hackerského serveru umístěna v Nizozemsku a byla již označena platformou pro analýzu hrozeb jako škodlivá.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Dynamická analýza
Dynamicky jsme vykonali tento škodlivý program v virtuálním prostředí a analyzovali procesy, níže je uvedena monitorovací informace o procesech sběru dat z místního zařízení a odesílání dat na server.
Analýza MistTrack
Pomocí nástroje pro sledování na blockchainu MistTrack jsme analyzovali hackerskou adresu poskytnutou oběťmi 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: hackerova adresa vygenerovala zisk přes 1 milion dolarů, včetně USD0++, MORPHO a ETH; z toho USD0++ a MORPHO byly vyměněny za 296 ETH.
Podle MistTrack hackerova adresa dříve přijala malé množství ETH z adresy 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, což může být poplatek pro hackerskou adresu. Tato adresa (0xb01c) má pouze jeden zdroj příjmů, ale převedla malé množství ETH na téměř 8,800 adres, což vypadá jako platforma "specializující se na poskytování poplatků".
Filtrujeme objekty převodu této adresy (0xb01c), které byly označeny jako škodlivé, a spojujeme je se dvěma phishingovými adresami, z nichž jedna byla označena jako Pink Drainer, a rozšiřujeme analýzu těchto dvou phishingových adres, přičemž prostředky byly většinou převedeny na ChangeNOW a MEXC.
Pokračovali jsme v analýze převodu odcizených prostředků, celkem bylo převedeno 296.45 ETH na novou adresu 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
První transakce na nové adrese (0xdfe7) byla provedena v červenci 2023, zahrnovala více blockchainů a aktuální zůstatek je 32.81 ETH.
Hlavní cesta převodu ETH z nové adresy (0xdfe7) je následující:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> vyměněno za 15,720 USDT
· 14.39 ETH -> Gate.io
Výše uvedené rozšířené adresy jsou spojeny s výběry na několika platformách, jako jsou Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, a souvisejí s několika adresami označenými jako Angel Drainer a Theft od MistTrack. Kromě toho nyní na adrese 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 zůstává 99.96 ETH.
Nová adresa (0xdfe7) má také mnoho stop transakcí USDT, které byly převedeny na platformy jako Binance, MEXC, FixedFloat.
Shrnutí
Cesta phishingu, kterou sdílíme, je, že hackeři se maskují jako normální odkazy na Zoom schůzky, aby vmanipulovali uživatele do stažení a spuštění škodlivého softwaru. Škodlivý software obvykle obsahuje vícero nebezpečných funkcí, jako je sběr systémových informací, krádež dat prohlížeče a získávání informací o kryptoměnových peněženkách, a přenáší data na servery ovládané hackery. Tento typ útoku obvykle kombinuje sociálně-inženýrské útoky a techniky trojských koní, takže uživatelé mohou snadno naletět. Tým SlowMist doporučuje uživatelům pečlivě ověřit odkazy před kliknutím na schůzku, aby se vyhnuli spouštění softwaru a příkazů z neznámých zdrojů, instalovali antivirový software a pravidelně jej aktualizovali. Další bezpečnostní doporučení lze nalézt v (Příručce pro sebeobranu v temném lese blockchainu) vydané týmem SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
