Fuente de la reimpresión del artículo: SlowMist Technology
Autor |Reborn, Lisa
Editor |Liz
Contexto
Recientemente, varios usuarios en X han reportado un ataque de phishing disfrazado como un enlace de reunión de Zoom, en el cual una víctima instaló malware después de hacer clic en el enlace malicioso de la reunión de Zoom, lo que resultó en el robo de activos criptográficos, con pérdidas que alcanzaron millones de dólares. En este contexto, el equipo de seguridad de SlowMist ha llevado a cabo un análisis de estos incidentes de phishing y técnicas de ataque, y ha rastreado el flujo de fondos de los hackers.
(https://x.com/lsp8940/status/1871350801270296709)
Análisis de enlaces de phishing
Los hackers utilizan dominios que parecen “app[.]us4zoom[.]us” para disfrazarse como un enlace normal de reunión de Zoom, la página es muy similar a una verdadera reunión de Zoom, cuando el usuario hace clic en el botón “Iniciar reunión”, se dispara la descarga de un paquete de instalación malicioso, en lugar de iniciar el cliente local de Zoom.
A través de la exploración del dominio mencionado, descubrimos la dirección de registro de monitoreo del hacker (https[:]//app[.]us4zoom[.]us/error_log).
El descubrimiento de la deconocida reveló que este es un registro de entrada cuando el script intenta enviar un mensaje a través de la API de Telegram, el idioma utilizado es ruso.
Este sitio fue lanzado hace 27 días, los hackers pueden ser rusos, y desde el 14 de noviembre empezaron a buscar objetivos para lanzar ataques, luego a través de la API de Telegram monitorearon si había algún objetivo que hiciera clic en el botón de descarga de la página de phishing.
Análisis de malware
El nombre del archivo del paquete de instalación malicioso es “ZoomApp_v.3.14.dmg”, a continuación se muestra la interfaz que abre este software de phishing de Zoom, induciendo a los usuarios a ejecutar el script malicioso ZoomApp.file en Terminal, y durante el proceso de ejecución también induce a los usuarios a ingresar su contraseña local.
A continuación se muestra el contenido de la ejecución de este archivo malicioso:
Después de decodificar el contenido mencionado, se descubrió que este es un script malicioso de osascript.
Continuando con el análisis, se descubrió que el script busca un archivo ejecutable oculto llamado “.ZoomApp” y lo ejecuta localmente. Realizamos un análisis del paquete de instalación original “ZoomApp_v.3.14.dmg” y encontramos que el paquete de instalación efectivamente oculta un archivo ejecutable llamado “.ZoomApp”.
Análisis de comportamiento malicioso
Análisis estático
Subimos este archivo binario a una plataforma de inteligencia de amenazas para su análisis, y se descubrió que este archivo ya había sido marcado como un archivo malicioso.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
A través del análisis de desensamblado estático, la siguiente imagen muestra el código de entrada de este archivo binario, utilizado para el descifrado de datos y la ejecución de scripts.
La siguiente imagen es la parte de datos, donde se puede ver que la mayoría de la información ha sido cifrada y codificada.
Después de descifrar los datos, se descubrió que este archivo binario también ejecuta un script malicioso de osascript (el código completo de descifrado ha sido compartido en: https://pastebin.com/qRYQ44xa), el cual recopila información del dispositivo del usuario y la envía al servidor de fondo.
La siguiente imagen es parte del código que enumera la información de la ruta de diferentes ID de plugins.
La siguiente imagen muestra parte del código para leer la información de KeyChain del ordenador.
Después de que el código malicioso recopila información del sistema, datos del navegador, datos de la billetera criptográfica, datos de Telegram, datos de notas y datos de cookies, los comprime y los envía a un servidor controlado por los hackers (141.98.9.20).
Debido a que el malware induce a los usuarios a ingresar su contraseña durante la ejecución, y los scripts maliciosos posteriores también recopilan datos de KeyChain del ordenador (que pueden incluir varias contraseñas guardadas por el usuario en la computadora), el hacker, tras recopilar, intentará descifrar los datos para obtener las frases semilla de la billetera del usuario, claves privadas y otra información sensible, robando así los activos del usuario.
Según el análisis, la dirección IP del servidor del hacker está en los Países Bajos y actualmente ha sido marcada como maliciosa por plataformas de inteligencia de amenazas.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Análisis dinámico
Se ejecutó dinámicamente este programa malicioso en un entorno virtual y se analizó el proceso, la siguiente imagen muestra la información de monitoreo del proceso del programa malicioso recolectando datos de la máquina y enviando datos al servidor de fondo.
Análisis de MistTrack
Usamos la herramienta de seguimiento en cadena MistTrack para analizar la dirección del hacker proporcionada por la víctima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: la dirección del hacker ganó más de 1 millón de dólares, incluyendo USD0++, MORPHO y ETH; de los cuales, USD0++ y MORPHO fueron intercambiados por 296 ETH.
Según MistTrack, la dirección de los hackers recibió pequeñas transferencias de ETH desde la dirección 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que se sospecha que es para cubrir las tarifas de transacción del hacker. Esta dirección (0xb01c) solo tiene una fuente de ingresos, pero ha transferido pequeñas cantidades de ETH a cerca de 8,800 direcciones, lo que parece ser una “plataforma dedicada a proporcionar tarifas de transacción”.
Al filtrar la dirección (0xb01c) en la que se transfieren objetos marcados como maliciosos, se relaciona con dos direcciones de phishing, una de las cuales está marcada como Pink Drainer, y al expandir el análisis de estas dos direcciones de phishing, los fondos se transfieren principalmente a ChangeNOW y MEXC.
Luego se analizó la situación de la transferencia de los fondos robados, un total de 296.45 ETH fue transferido a la nueva dirección 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La primera transacción de la nueva dirección (0xdfe7) fue en julio de 2023, involucrando múltiples cadenas, y el saldo actual es de 32.81 ETH.
Nueva dirección (0xdfe7) principal ruta de transferencia de ETH es la siguiente:
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> intercambiados por 15,720 USDT
14.39 ETH -> Gate.io
Las transferencias posteriores de la dirección ampliada están relacionadas con múltiples plataformas como Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, y están conectadas a múltiples direcciones etiquetadas por MistTrack como Angel Drainer y Theft. Además, actualmente hay 99.96 ETH en la dirección 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Los rastros de transacciones de USDT en la nueva dirección (0xdfe7) también son muy numerosos, transferidos a plataformas como Binance, MEXC, FixedFloat, etc.
Resumen
La vía de phishing compartida en esta ocasión es que los hackers se disfrazan como un enlace de reunión normal de Zoom, induciendo a los usuarios a descargar y ejecutar malware. El malware generalmente cuenta con múltiples funciones perjudiciales, como recopilar información del sistema, robar datos del navegador y obtener información de billeteras de criptomonedas, y envía los datos a servidores controlados por los hackers. Este tipo de ataque suele combinar técnicas de ingeniería social y ataques de troyanos, y los usuarios pueden caer en la trampa con un simple descuido. El equipo de seguridad de SlowMist recomienda a los usuarios verificar cuidadosamente antes de hacer clic en el enlace de la reunión, evitar ejecutar software y comandos de origen desconocido, instalar software antivirus y actualizarlo regularmente. Para más conocimientos de seguridad, se sugiere leer el (Manual de autoayuda del bosque oscuro de la blockchain) producido por el equipo de seguridad de SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
