Titre original : (Ce que l'on voit n'est pas la réalité | Analyse de phishing de fausses réunions Zoom)
Source originale : SlowMist Technology
Contexte
Récemment, plusieurs utilisateurs sur X ont signalé une technique d'attaque de phishing déguisée en lien de réunion Zoom, l'une des victimes ayant installé un logiciel malveillant après avoir cliqué sur un lien de réunion Zoom malveillant, entraînant le vol d'actifs cryptographiques, la perte s'élevant à plusieurs millions de dollars. Dans ce contexte, l'équipe de sécurité SlowMist a analysé ces événements de phishing et techniques d'attaque et a suivi le flux de fonds des hackers.
(https://x.com/lsp8940/status/1871350801270296709)
Analyse des liens de phishing
Les hackers utilisent des noms de domaine tels que « app[.]us4zoom[.]us » pour se déguiser en lien de réunion Zoom normal, la page étant très similaire à une véritable réunion Zoom. Lorsque l'utilisateur clique sur le bouton « Démarrer la réunion », cela déclenche le téléchargement d'un package d'installation malveillant au lieu de lancer le client Zoom local.
Par le biais de la détection des domaines ci-dessus, nous avons découvert l'adresse de journal de surveillance des hackers (https[:]//app[.]us4zoom[.]us/error_log).
Le déchiffrement révèle qu'il s'agit d'une entrée de journal lors de la tentative du script d'envoyer un message via l'API Telegram, la langue utilisée étant le russe.
Ce site a été mis en ligne il y a 27 jours, les hackers pourraient être russes et ont commencé à chercher des cibles le 14 novembre, puis ont surveillé via l'API Telegram si des cibles cliquaient sur le bouton de téléchargement de la page de phishing.
Analyse de logiciels malveillants
Le nom du fichier du package d'installation malveillant est « ZoomApp_v.3.14.dmg », ci-dessous l'interface que ce logiciel de phishing Zoom ouvre, incitant l'utilisateur à exécuter le script malveillant ZoomApp.file dans le Terminal, et au cours de l'exécution, il incite également l'utilisateur à saisir le mot de passe de la machine.
Voici le contenu d'exécution de ce fichier malveillant :
Après décodage du contenu ci-dessus, il s'avère qu'il s'agit d'un script osascript malveillant.
En poursuivant l'analyse, nous avons découvert que ce script cherche un fichier exécutable caché nommé « .ZoomApp » et l'exécute localement. Une analyse de disque du package d'installation original « ZoomApp_v.3.14.dmg » a révélé que le package cache effectivement un fichier exécutable nommé « .ZoomApp ».
Analyse des comportements malveillants
Analyse statique
Nous avons téléchargé ce fichier binaire sur une plateforme d'analyse des menaces et avons découvert que ce fichier avait déjà été marqué comme malveillant.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
L'analyse par désassemblage statique montre que le code d'entrée du fichier binaire ci-dessous est utilisé pour le déchiffrement des données et l'exécution de scripts.
L'image ci-dessous montre la partie des données, où l'on peut constater que la plupart des informations ont été chiffrées et codées.
Après décryptage des données, il s'avère que ce fichier binaire exécute également un script osascript malveillant (le code complet déchiffré a été partagé sur : https://pastebin.com/qRYQ44xa), ce script collecte des informations sur l'appareil de l'utilisateur et les envoie en arrière-plan.
L'image ci-dessous montre la partie du code qui énumère les informations de chemin des différents ID de plugins.
L'image ci-dessous montre la partie du code qui lit les informations KeyChain de l'ordinateur.
Après que le code malveillant ait collecté des informations système, des données de navigateur, des données de portefeuille de cryptomonnaie, des données Telegram, des notes Notes et des données de cookie, il les compresse et les envoie au serveur contrôlé par le hacker (141.98.9.20).
Puisque le logiciel malveillant incite l'utilisateur à saisir un mot de passe lors de son exécution, et que le script malveillant qui suit collecte également les données KeyChain de l'ordinateur (qui peuvent contenir divers mots de passe que l'utilisateur a enregistrés sur l'ordinateur), le hacker tentera de déchiffrer ces données pour obtenir les phrases de récupération et les clés privées du portefeuille de l'utilisateur, et ainsi voler les actifs de l'utilisateur.
Selon l'analyse, l'adresse IP du serveur du hacker est située aux Pays-Bas et a déjà été marquée comme malveillante par la plateforme d'analyse des menaces.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analyse dynamique
Exécution dynamique de ce programme malveillant dans un environnement virtuel et analyse des processus, l'image ci-dessous montre les informations de surveillance des processus collectant les données locales et envoyant les données en arrière-plan.
Analyse de MistTrack
Nous avons utilisé l'outil de traçage on-chain MistTrack pour analyser l'adresse du hacker fournie par la victime 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac : l'adresse du hacker a profité de plus d'un million de dollars, y compris USD0++, MORPHO et ETH ; parmi eux, USD0++ et MORPHO ont été échangés contre 296 ETH.
Selon MistTrack, l'adresse du hacker a reçu de petits ETH en provenance de l'adresse 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, ce qui semble être une tentative de couvrir les frais de transaction. Cette adresse (0xb01c) n'a qu'une seule source de revenus mais a transféré de petits ETH vers près de 8,800 adresses, ce qui semble être une plateforme « spécialisée dans les frais de transaction ».
En filtrant les adresses marquées comme malveillantes dans les transferts sortants de cette adresse (0xb01c), nous avons identifié deux adresses de phishing, dont l'une est marquée comme Pink Drainer, et avons approfondi l'analyse de ces deux adresses de phishing, les fonds étant principalement transférés vers ChangeNOW et MEXC.
Ensuite, nous avons analysé les transferts de fonds volés, un total de 296.45 ETH a été transféré vers la nouvelle adresse 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La première transaction de la nouvelle adresse (0xdfe7) a eu lieu en juillet 2023, impliquant plusieurs chaînes, et le solde actuel est de 32.81 ETH.
Les principales voies de transfert de ETH de la nouvelle adresse (0xdfe7) sont comme suit :
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> échangé contre 15,720 USDT
· 14.39 ETH -> Gate.io
Les transferts suivants des adresses étendues sont associés à plusieurs plateformes telles que Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, et sont également liés à plusieurs adresses marquées par MistTrack comme Angel Drainer et Theft. De plus, 99.96 ETH restent actuellement dans l'adresse 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Les traces de transaction USDT de la nouvelle adresse (0xdfe7) sont également très nombreuses, transférées vers des plateformes telles que Binance, MEXC, FixedFloat, etc.
Résumé
La voie de phishing partagée ici consiste pour les hackers à se déguiser en lien de réunion Zoom normal, incitant les utilisateurs à télécharger et exécuter un logiciel malveillant. Les logiciels malveillants ont généralement plusieurs fonctions nuisibles telles que la collecte d'informations système, le vol de données de navigateur et l'accès aux informations de portefeuille de cryptomonnaie, et transmettent les données aux serveurs contrôlés par les hackers. Ce type d'attaque combine généralement des techniques d'ingénierie sociale et des attaques par cheval de Troie, et les utilisateurs peuvent facilement tomber dans le piège. L'équipe de sécurité SlowMist recommande aux utilisateurs de vérifier soigneusement avant de cliquer sur les liens de réunion, d'éviter d'exécuter des logiciels et commandes d'origine inconnue, d'installer un logiciel antivirus et de le mettre à jour régulièrement. Pour plus de conseils de sécurité, veuillez lire le (manuel de survie dans la forêt sombre de la blockchain) produit par l'équipe de sécurité SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
