Titre original : (Ce que l'on voit n'est pas toujours vrai | Analyse de phishing de fausses réunions Zoom)
Source originale : SlowMist Technology
Contexte
Récemment, plusieurs utilisateurs sur X ont signalé une méthode d'attaque de phishing déguisée en lien de réunion Zoom, l'une des victimes ayant installé un logiciel malveillant après avoir cliqué sur un lien Zoom malveillant, entraînant le vol d'actifs cryptographiques, avec des pertes s'élevant à des millions de dollars. Dans ce contexte, l'équipe de sécurité SlowMist a analysé ce type d'incidents de phishing et de techniques d'attaque, et a suivi le flux de fonds des hackers.
(https://x.com/lsp8940/status/1871350801270296709)
Analyse de lien de phishing
Les hackers utilisent des noms de domaine tels que « app[.]us4zoom[.]us » pour se déguiser en lien de réunion Zoom normal, la page étant très similaire à une vraie réunion Zoom. Lorsque l'utilisateur clique sur le bouton « Démarrer la réunion », cela déclenche le téléchargement d'un paquet d'installation malveillant, au lieu de lancer le client Zoom local.
Grâce à la détection des noms de domaine ci-dessus, nous avons trouvé l'adresse du journal de surveillance des hackers (https[:]//app[.]us4zoom[.]us/error_log).
Le décryptage révèle qu'il s'agit d'une entrée de journal où le script tente d'envoyer un message via l'API Telegram, la langue utilisée est le russe.
Ce site a été mis en ligne il y a 27 jours, les hackers pourraient être russes et ont commencé à chercher des cibles depuis le 14 novembre, puis ont surveillé via l'API Telegram si des cibles cliquaient sur le bouton de téléchargement de la page de phishing.
Analyse des logiciels malveillants
Ce fichier d'installation malveillant est nommé « ZoomApp_v.3.14.dmg », voici l'interface ouverte par ce logiciel de phishing Zoom, incitant l'utilisateur à exécuter le script malveillant ZoomApp.file dans le Terminal, et pendant le processus d'exécution, il incite également l'utilisateur à entrer le mot de passe de sa machine.
Voici le contenu d'exécution de ce fichier malveillant :
Après décryptage des contenus ci-dessus, il a été découvert qu'il s'agit d'un script osascript malveillant.
L'analyse continue a révélé que le script cherche un fichier exécutable caché nommé « .ZoomApp » et l'exécute localement. Nous avons effectué une analyse de disque du paquet d'installation original « ZoomApp_v.3.14.dmg » et avons découvert que le paquet cachait effectivement un fichier exécutable nommé « .ZoomApp ».
Analyse des comportements malveillants
Analyse statique
Nous avons téléchargé ce fichier binaire sur une plateforme d'intelligence sur les menaces pour analyse et avons découvert que ce fichier a déjà été marqué comme malveillant.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
À travers l'analyse statique désassemblée, l'image ci-dessous montre le code d'entrée de ce fichier binaire, utilisé pour le décryptage des données et l'exécution de scripts.
L'image ci-dessous montre une partie des données, où l'on peut constater que la plupart des informations ont été cryptées et codées.
Après décryptage des données, il a été découvert que ce fichier binaire exécute également un script osascript malveillant (le code de décryptage complet a été partagé : https://pastebin.com/qRYQ44xa), ce script collectant des informations sur le dispositif de l'utilisateur et les envoyant à l'arrière-plan.
L'image ci-dessous est une partie du code énumérant les informations de chemin de différents ID de plugins.
L'image ci-dessous montre une partie du code qui lit les informations de KeyChain de l'ordinateur.
Après que le code malveillant a collecté des informations système, des données de navigateur, des données de portefeuille cryptographique, des données Telegram, des données de notes et des données de cookies, il les compresse et les envoie à un serveur contrôlé par les hackers (141.98.9.20).
Puisque le programme malveillant incite l'utilisateur à entrer son mot de passe au moment de l'exécution, et que les scripts malveillants suivants collectent également des données KeyChain de l'ordinateur (qui peuvent inclure divers mots de passe que l'utilisateur a enregistrés sur l'ordinateur), les hackers essaieront de déchiffrer ces données après les avoir collectées, obtenant ainsi des informations sensibles telles que la phrase de récupération du portefeuille de l'utilisateur, la clé privée, etc., et voleront ainsi les actifs de l'utilisateur.
Selon l'analyse, l'adresse IP du serveur hacker est située aux Pays-Bas et a déjà été marquée comme malveillante par la plateforme d'intelligence sur les menaces.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analyse dynamique
Exécution dynamique de ce programme malveillant dans un environnement virtuel et analyse des processus, l'image ci-dessous montre la surveillance des processus de collecte de données de la machine locale et d'envoi de données à l'arrière-plan.
Analyse de MistTrack
Nous avons utilisé l'outil de traçage on-chain MistTrack pour analyser l'adresse du hacker fournie par la victime 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac : l'adresse du hacker a généré plus d'un million de dollars de bénéfices, incluant USD0++, MORPHO et ETH ; parmi cela, USD0++ et MORPHO ont été échangés contre 296 ETH.
Selon MistTrack, l'adresse du hacker a reçu des petits transferts d'ETH provenant de l'adresse 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, suggérant qu'elle a fourni des frais de transaction à l'adresse du hacker. Cette adresse (0xb01c) a une seule source de revenus, mais a transféré de petits montants d'ETH vers près de 8 800 adresses, semblant être une « plateforme spécialisée dans la fourniture de frais de transaction ».
En filtrant les objets de sortie de cette adresse (0xb01c) marqués comme malveillants, nous les avons reliés à deux adresses de phishing, dont l'une est marquée comme Pink Drainer, en analysant plus en détail ces deux adresses de phishing, les fonds ont principalement été transférés vers ChangeNOW et MEXC.
Ensuite, nous analysons la situation des fonds volés, un total de 296,45 ETH a été transféré à la nouvelle adresse 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La première transaction de la nouvelle adresse (0xdfe7) date de juillet 2023, impliquant plusieurs chaînes, et le solde actuel est de 32,81 ETH.
Le chemin principal de transfert ETH pour la nouvelle adresse (0xdfe7) est le suivant :
· 200,79 ETH -> 0x19e0…5c98f
· 63,03 ETH -> 0x41a2…9c0b
· 8,44 ETH -> échangé contre 15 720 USDT
· 14,39 ETH -> Gate.io
Les adresses d'extension ci-dessus sont liées à des transferts vers plusieurs plateformes telles que Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, et sont associées à plusieurs adresses marquées par MistTrack comme Angel Drainer et Theft. De plus, il y a actuellement 99,96 ETH restant à l'adresse 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Les traces de transactions USDT de la nouvelle adresse (0xdfe7) sont également très nombreuses, transférées vers des plateformes telles que Binance, MEXC, FixedFloat, etc.
Résumé
La méthode de phishing partagée ici est que les hackers se déguisent en liens de réunion Zoom normaux, incitant les utilisateurs à télécharger et exécuter des logiciels malveillants. Les logiciels malveillants ont généralement plusieurs fonctions nuisibles, comme la collecte d'informations système, le vol de données de navigateur et l'accès aux informations de portefeuille de cryptomonnaie, et transmettent des données à un serveur contrôlé par les hackers. Ce type d'attaque combine généralement des techniques d'ingénierie sociale et des attaques par cheval de Troie, et un petit moment d'inattention de l'utilisateur peut entraîner une compromission. L'équipe de sécurité SlowMist conseille aux utilisateurs de vérifier attentivement avant de cliquer sur des liens de réunion, d'éviter d'exécuter des logiciels et des commandes d'origine inconnue, d'installer un antivirus et de mettre à jour régulièrement. Pour plus de conseils de sécurité, lisez le manuel d'auto-défense de la forêt sombre blockchain produit par l'équipe de sécurité SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
