Título original: (Ver para creer | Análisis de phishing de reunión falsa de Zoom)
Fuente original: SlowMist Technology
Fondo
Recientemente, varios usuarios en X informaron sobre un método de ataque de phishing disfrazado de enlace de reunión de Zoom, donde una víctima instaló malware después de hacer clic en un enlace de reunión de Zoom malicioso, lo que resultó en el robo de activos criptográficos con pérdidas que alcanzan millones de dólares. En este contexto, el equipo de seguridad de SlowMist llevó a cabo un análisis de este tipo de eventos de phishing y métodos de ataque, y rastreó el flujo de fondos de los hackers.
(https://x.com/lsp8940/status/1871350801270296709)
Análisis de enlaces de phishing
Los hackers usan dominios que parecen "app[.]us4zoom[.]us" para disfrazarse de enlaces normales de reuniones de Zoom, la página es muy similar a una verdadera reunión de Zoom, cuando el usuario hace clic en el botón "Iniciar reunión", se activa la descarga de un paquete de instalación malicioso, en lugar de iniciar el cliente de Zoom local.
A través de la detección de los dominios anteriores, descubrimos la dirección de registro de monitoreo del hacker (https[:]//app[.]us4zoom[.]us/error_log).
Al descifrar, se descubre que esta es una entrada del registro cuando el script intenta enviar un mensaje a través de la API de Telegram, el idioma utilizado es ruso.
El sitio fue lanzado hace 27 días, los hackers podrían ser rusos y comenzaron a buscar objetivos el 14 de noviembre, luego monitorearon a través de la API de Telegram si había objetivos que hicieran clic en el botón de descarga de la página de phishing.
Análisis de malware
Este archivo de instalación malicioso se llama "ZoomApp_v.3.14.dmg", a continuación se muestra la interfaz que abre este software de phishing de Zoom, induciendo a los usuarios a ejecutar el script malicioso ZoomApp.file en la Terminal, y durante el proceso de ejecución también inducirá a los usuarios a ingresar la contraseña de su máquina.
A continuación se muestra el contenido de ejecución de este archivo malicioso:
Al decodificar el contenido anterior, se descubre que este es un script malicioso de osascript.
Continúa el análisis y se descubre que el script busca un archivo ejecutable oculto llamado ".ZoomApp" y lo ejecuta localmente. Al analizar el paquete de instalación original "ZoomApp_v.3.14.dmg", se descubre que efectivamente oculta un archivo ejecutable llamado ".ZoomApp".
Análisis de comportamiento malicioso
Análisis estático
Subimos este archivo binario a la plataforma de inteligencia de amenazas para su análisis y encontramos que el archivo ya había sido marcado como malicioso.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
A través del análisis estático de desensamblado, la imagen a continuación muestra el código de entrada de este archivo binario, utilizado para el descifrado de datos y la ejecución de scripts.
La imagen a continuación muestra parte de los datos, donde se puede observar que la mayor parte de la información ha sido cifrada y codificada.
Al descifrar los datos, se descubre que este archivo binario también ejecuta un script malicioso de osascript (el código completo de descifrado se ha compartido en: https://pastebin.com/qRYQ44xa), este script recopila información del dispositivo del usuario y la envía al backend.
La imagen a continuación muestra parte del código para enumerar información de ruta de diferentes ID de complementos.
La imagen a continuación muestra parte del código para leer la información del KeyChain de la computadora.
El código malicioso, después de recopilar información del sistema, datos del navegador, datos de billetera de criptomonedas, datos de Telegram, datos de notas y datos de cookies, los comprime y los envía al servidor controlado por los hackers (141.98.9.20).
Debido a que el programa malicioso induce al usuario a ingresar una contraseña durante su ejecución, y los scripts maliciosos posteriores también recopilan datos del KeyChain de la computadora (que pueden incluir varias contraseñas que el usuario ha guardado en la computadora), los hackers intentan descifrar los datos recopilados para obtener las frases de recuperación de billeteras, claves privadas y otra información sensible, lo que les permite robar los activos del usuario.
Según el análisis, la dirección IP del servidor del hacker se encuentra en los Países Bajos y ha sido marcada como maliciosa por la plataforma de inteligencia de amenazas.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Análisis dinámico
Ejecutar dinámicamente este programa malicioso en un entorno virtual y analizar el proceso, la imagen a continuación muestra la información de monitoreo del proceso de recopilación de datos de la máquina y el proceso de envío de datos al backend.
Análisis de MistTrack
Utilizamos la herramienta de seguimiento en cadena MistTrack para analizar la dirección del hacker proporcionada por la víctima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: la dirección del hacker obtuvo beneficios de más de 1 millón de dólares, incluyendo USD0++, MORPHO y ETH; de los cuales, USD0++ y MORPHO se cambiaron por 296 ETH.
Según MistTrack, la dirección del hacker había recibido pequeñas cantidades de ETH transferidas desde la dirección 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, lo que se sospecha que proporciona tarifas de transacción a la dirección del hacker. Esta dirección (0xb01c) solo tiene una fuente de ingresos, pero transfiere pequeñas cantidades de ETH a casi 8,800 direcciones, lo que parece ser una "plataforma dedicada a proporcionar tarifas de transacción".
Filtrando entre los objetos de salida de esta dirección (0xb01c) marcados como maliciosos, se vinculan a dos direcciones de phishing, una de las cuales está marcada como Pink Drainer, para un análisis extendido de estas dos direcciones de phishing, los fondos se trasladaron principalmente a ChangeNOW y MEXC.
Luego, se analiza la situación de la salida de fondos robados, un total de 296.45 ETH se transfirieron a la nueva dirección 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La primera transacción de la nueva dirección (0xdfe7) se realizó en julio de 2023, involucrando múltiples cadenas, y el saldo actual es de 32.81 ETH.
La principal ruta de salida de ETH de la nueva dirección (0xdfe7) es la siguiente:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH ->兑换为 15,720 USDT
· 14.39 ETH -> Gate.io
La dirección de expansión anterior está relacionada con múltiples plataformas como Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC y está asociada con múltiples direcciones marcadas por MistTrack como Angel Drainer y Theft. Además, actualmente hay 99.96 ETH en la dirección 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
La nueva dirección (0xdfe7) también tiene muchas huellas de transacciones de USDT, que se transfieren a plataformas como Binance, MEXC, FixedFloat, etc.
Resumen
El método de phishing compartido en esta ocasión es que los hackers se disfrazan como un enlace normal de reunión de Zoom para inducir a los usuarios a descargar y ejecutar el malware. El malware generalmente tiene múltiples funciones dañinas, como recopilar información del sistema, robar datos del navegador y obtener información de billeteras de criptomonedas, y envía los datos a un servidor controlado por los hackers. Este tipo de ataque generalmente combina técnicas de ingeniería social y ataques de troyanos, lo que puede llevar a los usuarios a caer en la trampa con un pequeño descuido. El equipo de seguridad de SlowMist sugiere a los usuarios que verifiquen cuidadosamente antes de hacer clic en el enlace de la reunión, eviten ejecutar software y comandos de origen desconocido, instalen software antivirus y lo actualicen regularmente. Para más conocimientos de seguridad, se recomienda leer el (Manual de Autoayuda del Bosque Oscuro de Blockchain) producido por el equipo de seguridad de SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
