Auteur |Reborn, Lisa
Éditeur |Liz
Contexte
Récemment, plusieurs utilisateurs sur X ont signalé une méthode d'attaque de phishing déguisée en lien de réunion Zoom, l'une des victimes a installé un logiciel malveillant après avoir cliqué sur un lien de réunion Zoom malveillant, entraînant le vol d'actifs cryptographiques, avec des pertes atteignant des millions de dollars. Dans ce contexte, l'équipe de sécurité SlowMist a analysé ce type d'incidents de phishing et de méthodes d'attaque, et a suivi les flux de fonds des hackers.
(https://x.com/lsp8940/status/1871350801270296709)
Analyse des liens de phishing
Les hackers utilisent un nom de domaine sous la forme "app[.]us4zoom[.]us" pour se déguiser en lien de réunion Zoom normal, la page ressemblant beaucoup à une véritable réunion Zoom, lorsque l'utilisateur clique sur le bouton "Démarrer la réunion", cela déclenche le téléchargement d'un paquet d'installation malveillant, plutôt que de lancer le client Zoom local.
En explorant les domaines ci-dessus, nous avons découvert l'adresse du journal de surveillance des hackers (https[:]//app[.]us4zoom[.]us/error_log).
Le décryptage a révélé qu'il s'agissait d'une entrée de journal lorsque le script tentait d'envoyer un message via l'API Telegram, la langue utilisée étant le russe.
Ce site a été déployé il y a 27 jours, les hackers pourraient être russes et ont commencé à rechercher des cibles le 14 novembre, puis à surveiller via l'API Telegram pour voir si des cibles cliquaient sur le bouton de téléchargement de la page de phishing.
Analyse de logiciels malveillants
Le nom du fichier du paquet d'installation malveillant est "ZoomApp_v.3.14.dmg", ci-dessous l'interface ouverte par ce logiciel de phishing Zoom, incitant l'utilisateur à exécuter le script malveillant ZoomApp.file dans le Terminal, et au cours de l'exécution, il incitera également l'utilisateur à entrer le mot de passe de la machine.
Voici le contenu d'exécution de ce fichier malveillant :
Après avoir décodé le contenu ci-dessus, il s'avère qu'il s'agit d'un script osascript malveillant.
L'analyse a révélé que ce script recherche un fichier exécutable caché nommé ".ZoomApp" et l'exécute localement. Nous avons effectué une analyse disque sur le paquet d'installation original "ZoomApp_v.3.14.dmg" et avons découvert que le paquet cachait effectivement un fichier exécutable nommé ".ZoomApp".
Analyse des comportements malveillants
Analyse statique
Nous avons téléchargé ce fichier binaire sur une plateforme de renseignement sur les menaces pour analyse, et avons découvert que ce fichier avait déjà été marqué comme fichier malveillant.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Par l'analyse de désassemblage statique, le tableau ci-dessous montre le code d'entrée de ce fichier binaire, utilisé pour le décryptage de données et l'exécution de scripts.
Le tableau ci-dessous montre la partie des données, où l'on peut constater que la plupart des informations ont été cryptées et codées.
Après avoir décrypté les données, il a été découvert que ce fichier binaire exécute également un script osascript malveillant (le code complet décrypté a été partagé sur : https://pastebin.com/qRYQ44xa), ce script collecte les informations sur l'appareil des utilisateurs et les envoie en arrière-plan.
Le code ci-dessous énumère les informations de chemin pour différents ID de plugin.
Le tableau ci-dessous montre une partie du code pour lire les informations de KeyChain de l'ordinateur.
Après que le code malveillant ait collecté des informations système, des données de navigateur, des données de portefeuille crypto, des données Telegram, des données Notes et des données de cookies, il les compresse et les envoie à un serveur contrôlé par les hackers (141.98.9.20).
Étant donné que le programme malveillant incite l'utilisateur à entrer son mot de passe pendant son exécution, et que les scripts malveillants ultérieurs collectent également les données KeyChain de l'ordinateur (qui peuvent contenir divers mots de passe sauvegardés sur l'ordinateur par l'utilisateur), les hackers essaieront de déchiffrer les données collectées pour obtenir les phrases de récupération de portefeuille, les clés privées et d'autres informations sensibles, afin de voler les actifs de l'utilisateur.
Selon l'analyse, l'adresse IP du serveur hacker est située aux Pays-Bas et a été marquée comme malveillante par une plateforme de renseignement sur les menaces.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analyse dynamique
Exécuter dynamiquement ce programme malveillant dans un environnement virtuel et analyser le processus, le tableau ci-dessous montre les informations de surveillance des processus du programme malveillant collectant les données de la machine et envoyant des données en arrière-plan.
Analyse MistTrack
Nous avons utilisé l'outil de suivi on-chain MistTrack pour analyser l'adresse hacker fournie par la victime 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac : les hackers ont gagné plus d'un million de dollars, y compris USD0++, MORPHO et ETH ; parmi lesquels, USD0++ et MORPHO ont été échangés contre 296 ETH.
Selon MistTrack, l'adresse hacker a reçu de petites quantités de ETH de l'adresse 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, suspectées de fournir des frais de transaction à l'adresse hacker. Cette adresse (0xb01c) a une seule source de revenus, mais a transféré de petites quantités de ETH vers près de 8,800 adresses, semblant être une "plateforme dédiée à la fourniture de frais de transaction".
Filtrer les adresses marquées comme malveillantes dans les objets de sortie de cette adresse (0xb01c), liées à deux adresses de phishing, dont l'une est marquée comme Pink Drainer, analyser ces deux adresses de phishing, les fonds étant principalement transférés vers ChangeNOW et MEXC.
Nous avons ensuite analysé les transferts de fonds volés, un total de 296.45 ETH ayant été transféré à la nouvelle adresse 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La première transaction de la nouvelle adresse (0xdfe7) a eu lieu en juillet 2023, impliquant plusieurs chaînes, le solde actuel étant de 32.81 ETH.
Le nouveau chemin d'adresse (0xdfe7) principal pour les transferts de ETH est le suivant :
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> échangé contre 15,720 USDT
14.39 ETH -> Gate.io
Les transferts ultérieurs de l'adresse étendue ci-dessus sont liés à plusieurs plateformes telles que Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, et sont associés à plusieurs adresses marquées par MistTrack comme Angel Drainer et Theft. En outre, il y a actuellement 99.96 ETH restant à l'adresse 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Les traces de transactions USDT de la nouvelle adresse (0xdfe7) sont également très nombreuses, transférées vers Binance, MEXC, FixedFloat et d'autres plateformes.
Résumé
La méthode de phishing partagée cette fois-ci est que les hackers se déguisent en lien de réunion Zoom normal, incitant les utilisateurs à télécharger et exécuter un logiciel malveillant. Le logiciel malveillant a généralement la capacité de collecter des informations système, de voler des données de navigateur et d'accéder à des informations de portefeuille de cryptomonnaie, et transmet les données à un serveur contrôlé par les hackers. Ce type d'attaque combine généralement des techniques d'ingénierie sociale et des attaques de chevaux de Troie, et les utilisateurs peuvent tomber dans le piège avec la moindre négligence. L'équipe de sécurité SlowMist recommande aux utilisateurs de vérifier prudemment avant de cliquer sur les liens de réunion, d'éviter d'exécuter des logiciels et des commandes d'origine inconnue, d'installer des logiciels antivirus et de les mettre à jour régulièrement. Pour plus de conseils en matière de sécurité, veuillez lire le (manuel d'autoprotection de la forêt sombre de la blockchain) produit par l'équipe de SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
