Původní název: (Co vidíme, není vždy pravda | Analýza phishingu na falešném Zoom meetingu)
Původní zdroj: SlowMist Technology
Pozadí
Nedávno několik uživatelů na X nahlásilo phishingovou útokovou techniku, která se maskuje jako odkaz na Zoom meeting, přičemž jedna oběť po kliknutí na škodlivý odkaz Zoom meetingu nainstalovala malware, což vedlo ke krádeži kryptoměn a ztrátám v řádu milionů dolarů. V tomto kontextu tým SlowMist bezpečnosti provedl analýzu těchto phishingových incidentů a technik útoků a sledoval tok financí hackerů.
(https://x.com/lsp8940/status/1871350801270296709)
Analýza phishingových odkazů
Hackeři používají doménu tvaru „app[.]us4zoom[.]us“, aby se maskovali jako normální odkazy na Zoom meeting, stránka je velmi podobná skutečnému Zoom meetingu, když uživatel klikne na tlačítko „Spustit meeting“, dojde k aktivaci stahování škodlivého instalačního balíčku, místo aby se spustil místní klient Zoom.
Analýzou výše uvedené domény jsme objevili adresu monitorovacího protokolu hackerů (https[:]//app[.]us4zoom[.]us/error_log).
Dešifrováním jsme zjistili, že toto je záznamový záznam skriptu pokoušejícího se odeslat zprávu přes API Telegramu, jazyk použitý je ruština.
Tato stránka byla nasazena před 27 dny, hackeři mohou být Rusové a od 14. listopadu začali hledat cíle k útoku, poté monitorovali přes API Telegramu, zda cíle kliknou na tlačítko pro stažení phishingové stránky.
Analýza škodlivého softwaru
Tento škodlivý instalační balíček má název „ZoomApp_v.3.14.dmg“, níže je uvedeno rozhraní této phishingové aplikace Zoom, které nabádá uživatele k provedení skriptu ZoomApp.file v Terminálu a během provádění také přiměje uživatele k zadání hesla počítače.
Níže je uveden obsah provádění tohoto škodlivého souboru:
Po dekódování výše uvedeného obsahu jsme zjistili, že se jedná o škodlivý skript osascript.
Pokračující analýza odhalila, že tento skript hledá skrytý spustitelný soubor nazvaný „.ZoomApp“ a spouští ho lokálně. Při analýze původního instalačního balíčku „ZoomApp_v.3.14.dmg“ jsme zjistili, že skutečně skrývá spustitelný soubor nazvaný „.ZoomApp“.
Analýza škodlivého chování
Statická analýza
Nahráli jsme tento binární soubor na platformu pro analýzu hrozeb a zjistili jsme, že byl označen jako škodlivý soubor.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Analýzou statického disassemblování se ukazuje, že následující kód binárního souboru slouží k dešifrování dat a provádění skriptů.
Následující obrázek ukazuje část dat, kde je vidět, že většina informací byla zašifrována a kódována.
Dešifrováním dat jsme zjistili, že tento binární soubor nakonec také provádí škodlivý skript osascript (kompletní dešifrovací kód byl sdílen na: https://pastebin.com/qRYQ44xa), který shromažďuje informace z zařízení uživatele a odesílá je na pozadí.
Následující obrázek ukazuje část kódu pro enumeraci různých cest ID pluginů.
Následující obrázek ukazuje část kódu pro čtení informací z KeyChain počítače.
Po shromáždění systémových informací, dat prohlížeče, dat z peněženky kryptoměn, dat Telegramu, poznámek a dat cookies atd. škodlivý kód je komprimuje a odesílá na servery ovládané hackery (141.98.9.20).
Jelikož škodlivý program při spuštění podvádí uživatele, aby zadali heslo, a následné škodlivé skripty také shromažďují data KeyChain v počítači (což může obsahovat různé hesla uložená na počítači), hackeři se pokusí dešifrovat shromážděná data a získat citlivé informace, jako jsou mnemonické fráze peněženky uživatele, soukromé klíče atd., čímž ukradnou uživatelovy prostředky.
Podle analýzy je IP adresa hackerova serveru umístěna v Nizozemsku a byla v současnosti označena platformou pro analýzu hrozeb jako škodlivá.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Dynamická analýza
V prostředí virtuálního stroje jsme dynamicky provedli tento škodlivý program a analyzovali procesy. Následující obrázek ukazuje proces shromažďování dat z místního počítače a proces sledování odesílání dat na pozadí.
Analýza MistTrack
Použili jsme nástroj pro sledování na blockchainu MistTrack k analýze adresy hackera 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac poskytnuté obětí: hackerova adresa získala zisk přes 1 milion dolarů, včetně USD0++, MORPHO a ETH; z toho USD0++ a MORPHO byly vyměněny za 296 ETH.
Podle MistTrack hackeři dříve obdrželi malé částky ETH z adresy 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, což se zdá být poplatkem poskytnutým hackeři. Příjmy adresy (0xb01c) pocházejí pouze z jedné adresy, avšak převádí malé částky ETH na téměř 8,800 adres, což vypadá jako „platforma specializující se na poskytování poplatků“.
Filtrací adresy (0xb01c) mezi převody jsme identifikovali adresy označené jako zlovolné, které souvisejí se dvěma phishingovými adresami, z nichž jedna byla označena jako Pink Drainer. Dále jsme analyzovali tyto dvě phishingové adresy, na které byly prostředky převáděny na ChangeNOW a MEXC.
Dále jsme analyzovali převody ukradených prostředků, celkem 296.45 ETH bylo převedeno na novou adresu 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
První transakce nové adresy (0xdfe7) proběhla v červenci 2023 a zahrnovala více blockchainů, aktuálně má zůstatek 32.81 ETH.
Hlavní cesty převodu ETH nové adresy (0xdfe7) jsou následující:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> vyměněno za 15,720 USDT
· 14.39 ETH -> Gate.io
Následující převody spojené s rozšířenými adresami souvisejí s několika platformami jako Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC a souvisejí s více adresami označenými MistTrack jako Angel Drainer a Theft. Kromě toho na adrese 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 v současnosti zůstává 99.96 ETH.
Nová adresa (0xdfe7) má také velmi mnoho transakcí s USDT, které byly převedeny na platformy jako Binance, MEXC, FixedFloat a další.
Shrnutí
Cesta phishingu, kterou jsme sdíleli, spočívá v tom, že hackeři se maskují jako normální odkaz Zoom meetingu, aby přiměli uživatele stáhnout a spustit škodlivý software. Škodlivý software obvykle zahrnuje více funkcí, včetně shromažďování systémových informací, krádeže dat prohlížeče a získávání informací o peněženkách kryptoměn, a odesílá tato data na servery ovládané hackery. Tyto útoky obvykle kombinují techniky sociálního inženýrství a trojských koní, což dává uživatelům malou šanci na únik. Tým SlowMist doporučuje uživatelům pečlivě ověřit odkazy na meetingy, než na ně kliknou, vyhnout se spuštění softwaru a příkazů z neznámých zdrojů, instalovat antivirus a pravidelně aktualizovat. Další bezpečnostní znalosti doporučujeme přečíst v (Příručce pro sebeobranu v temném lese blockchainu) od týmu SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
