Autor | Reborn, Lisa
Editor | Liz
Fondo
Recientemente, varios usuarios en X han informado sobre un método de ataque de phishing que se disfraza como un enlace de reunión de Zoom. Una de las víctimas instaló malware después de hacer clic en un enlace malicioso de reunión de Zoom, lo que resultó en el robo de activos encriptados, con pérdidas que alcanzan millones de dólares. En este contexto, el equipo de seguridad de SlowMist ha comenzado a analizar este tipo de incidentes de phishing y técnicas de ataque, y a rastrear el flujo de fondos del hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Análisis de enlaces de phishing
El hacker utiliza un dominio que parece 'app[.]us4zoom[.]us' disfrazándose como un enlace de reunión normal de Zoom, la página es muy similar a la verdadera reunión de Zoom. Cuando el usuario hace clic en el botón 'Iniciar reunión', se desencadena la descarga del paquete de instalación malicioso, en lugar de iniciar el cliente local de Zoom.
A través de la detección del dominio anterior, encontramos la dirección de los registros de monitoreo del hacker (https[:]//app[.]us4zoom[.]us/error_log).
Se descubrió al descifrar que este es un registro del intento del script de enviar un mensaje a través de la API de Telegram, y el idioma utilizado es ruso.
Este sitio se lanzó hace 27 días, el hacker podría ser ruso, y desde el 14 de noviembre ha comenzado a buscar objetivos para lanzar ataques, luego monitorea a través de la API de Telegram si hay objetivos que hacen clic en el botón de descarga de la página de phishing.
Análisis de malware
El nombre del archivo del paquete malicioso es 'ZoomApp_v.3.14.dmg'. A continuación se muestra la interfaz de este software de phishing de Zoom, que induce a los usuarios a ejecutar el script malicioso ZoomApp.file en Terminal, y además, durante el proceso de ejecución, también se induce al usuario a ingresar la contraseña de su máquina.
A continuación se presentan los contenidos de la ejecución de este archivo malicioso:
Después de decodificar el contenido anterior, se descubre que es un script malicioso de osascript.
Continúa el análisis y se descubre que el script busca un archivo ejecutable oculto llamado '.ZoomApp' y lo ejecuta localmente. Realizamos un análisis de disco del paquete de instalación original 'ZoomApp_v.3.14.dmg' y encontramos que realmente oculta un archivo ejecutable llamado '.ZoomApp'.
Análisis de comportamientos maliciosos
Análisis estático
Subimos este archivo binario a una plataforma de inteligencia de amenazas para su análisis, y descubrimos que este archivo ya ha sido marcado como un archivo malicioso.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
A través del análisis de desensamblado estático, a continuación se muestra el código de entrada de este archivo binario utilizado para la descifrado de datos y ejecución de scripts.
A continuación se muestra la parte de datos, donde se puede notar que la mayoría de la información ha sido cifrada y codificada.
Después de descifrar los datos, se descubre que este archivo binario también ejecuta un script malicioso de osascript (el código de descifrado completo ha sido compartido en: https://pastebin.com/qRYQ44xa), este script recopila información del dispositivo del usuario y la envía al backend.
El siguiente código es una parte que enumera la información de ruta de diferentes ID de complementos.
A continuación se muestra una parte del código que lee la información del KeyChain de la computadora.
El código malicioso, después de recopilar información del sistema, datos del navegador, datos de billetera encriptada, datos de Telegram, datos de notas y datos de cookies, los comprime y los envía al servidor controlado por el hacker (141.98.9.20).
Dado que el programa malicioso induce a los usuarios a ingresar su contraseña mientras se ejecuta, y el script malicioso posterior también recopila datos del KeyChain de la computadora (que pueden incluir varias contraseñas guardadas por el usuario en la computadora), el hacker, después de recopilar, intentará descifrar los datos para obtener la frase semilla de la billetera del usuario, claves privadas y otra información sensible, robando así los activos del usuario.
Según el análisis, la dirección IP del servidor del hacker está ubicada en los Países Bajos y ha sido marcada como maliciosa por plataformas de inteligencia de amenazas.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Análisis dinámico
En un entorno virtual, se ejecuta dinámicamente este programa malicioso y se analiza el proceso. A continuación se muestra la información de monitoreo del proceso de recopilación de datos de la máquina local y el envío de datos al backend por parte del programa malicioso.
Análisis de MistTrack
Usamos la herramienta de seguimiento en cadena MistTrack para analizar la dirección del hacker proporcionada por la víctima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: la dirección del hacker ha obtenido más de un millón de dólares en ganancias, incluyendo USD0++, MORPHO y ETH; de las cuales, USD0++ y MORPHO fueron canjeados por 296 ETH.
Según MistTrack, la dirección del hacker había recibido pequeñas transferencias de ETH de la dirección 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, lo que se sospecha que es una tarifa de transacción proporcionada al hacker. Esta dirección (0xb01c) tiene solo una fuente de ingresos, pero ha transferido pequeñas cantidades de ETH a cerca de 8,800 direcciones, lo que parece ser una 'plataforma dedicada a proporcionar tarifas de transacción'.
Filtrando los objetos de salida desde la dirección (0xb01c) que están marcados como maliciosos, se relacionan con dos direcciones de phishing, una de las cuales está marcada como Pink Drainer. Se extiende el análisis de estas dos direcciones de phishing, y los fondos se transfieren principalmente a ChangeNOW y MEXC.
Luego se analiza la situación de las transferencias de fondos robados, y un total de 296.45 ETH fueron transferidos a la nueva dirección 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La primera transacción de la nueva dirección (0xdfe7) se realizó en julio de 2023, involucrando múltiples cadenas, y el saldo actual es de 32.81 ETH.
La principal ruta de salida de ETH de la nueva dirección (0xdfe7) es la siguiente:
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> canjeados por 15,720 USDT
14.39 ETH -> Gate.io
Las transferencias posteriores a la dirección expandida anterior están asociadas con múltiples plataformas como Bybit, Cryptomus.com, Swapspace, Gate.io y MEXC, además de estar relacionadas con varias direcciones marcadas por MistTrack como Angel Drainer y Theft. Además, actualmente hay 99.96 ETH retenidos en la dirección 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Las huellas de transacciones USDT en la nueva dirección (0xdfe7) también son muy numerosas, siendo transferidas a plataformas como Binance, MEXC, FixedFloat, entre otras.
Resumen
El método de phishing compartido en esta ocasión es que el hacker se disfraza como un enlace normal de reunión de Zoom, induciendo a los usuarios a descargar y ejecutar malware. El malware generalmente tiene múltiples funciones dañinas, como recopilar información del sistema, robar datos del navegador y obtener información de billeteras de criptomonedas, y transmite los datos a un servidor controlado por el hacker. Este tipo de ataques generalmente combina técnicas de ingeniería social y ataques de troyanos, donde el usuario puede caer en la trampa con la más mínima precaución. El equipo de seguridad de SlowMist recomienda a los usuarios que verifiquen cuidadosamente antes de hacer clic en enlaces de reuniones, eviten ejecutar software y comandos de fuentes desconocidas, instalen software antivirus y lo actualicen regularmente. Para más consejos sobre seguridad, se recomienda leer el (manual de autodefensa del bosque oscuro de blockchain) producido por el equipo de SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
