Penulis | Reborn, Lisa
Editor | Liz
Latar belakang
Baru-baru ini, banyak pengguna di X melaporkan metode serangan phishing yang menyamar sebagai tautan rapat Zoom. Salah satu korban menginstal perangkat lunak jahat setelah mengklik tautan rapat Zoom yang berbahaya, menyebabkan pencurian aset kripto dengan kerugian mencapai jutaan dolar. Dalam konteks ini, tim keamanan SlowMist melakukan analisis terhadap jenis peristiwa phishing ini dan metode serangannya, serta melacak aliran dana hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Analisis tautan phishing
Hacker menggunakan nama domain berbentuk "app[.]us4zoom[.]us" untuk menyamar sebagai tautan rapat Zoom yang normal, halaman tersebut sangat mirip dengan rapat Zoom yang sebenarnya. Ketika pengguna mengklik tombol "Mulai Rapat", unduhan paket instalasi jahat akan dipicu, bukan menjalankan klien Zoom lokal.
Dengan memeriksa domain di atas, kami menemukan alamat log pemantauan hacker (https[:]//app[.]us4zoom[.]us/error_log).
Dekripsi menunjukkan bahwa ini adalah entri log saat skrip mencoba mengirim pesan melalui API Telegram, menggunakan bahasa Rusia.
Situs ini telah diluncurkan 27 hari yang lalu, hacker kemungkinan merupakan orang Rusia, dan mulai mencari target untuk dipancing sejak 14 November, kemudian memantau melalui API Telegram apakah ada target yang mengklik tombol unduh halaman phishing.
Analisis perangkat lunak jahat
File instalasi jahat ini bernama "ZoomApp_v.3.14.dmg", di bawah ini adalah antarmuka perangkat lunak phishing Zoom yang membuka, mengundang pengguna untuk menjalankan skrip jahat ZoomApp.file di Terminal, dan selama proses tersebut juga mengundang pengguna untuk memasukkan kata sandi mesin mereka.
Berikut adalah konten eksekusi dari file jahat ini:
Setelah mendekode konten di atas, ditemukan bahwa ini adalah skrip osascript yang jahat.
Melanjutkan analisis, ditemukan bahwa skrip ini mencari file eksekusi tersembunyi bernama ".ZoomApp" dan menjalankannya secara lokal. Kami melakukan analisis disk pada paket instalasi asli "ZoomApp_v.3.14.dmg", dan menemukan bahwa paket ini memang menyembunyikan file eksekusi bernama ".ZoomApp".
Analisis perilaku jahat
Analisis statis
Kami mengunggah file biner ini ke platform intelijen ancaman untuk dianalisis, dan menemukan bahwa file ini telah ditandai sebagai file jahat.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Melalui analisis disassembly statis, di bawah ini adalah kode masuk dari file biner ini, yang digunakan untuk dekripsi data dan eksekusi skrip.
Di bawah ini adalah bagian data, dapat dilihat bahwa sebagian besar informasi telah dienkripsi dan dikodekan.
Setelah mendekripsi data, ditemukan bahwa file biner ini juga menjalankan skrip osascript yang jahat (kode dekripsi lengkap telah dibagikan di: https://pastebin.com/qRYQ44xa), skrip ini akan mengumpulkan informasi dari perangkat pengguna dan mengirimkannya ke backend.
Di bawah ini adalah sebagian kode yang mendemonstrasikan informasi jalur ID plugin yang berbeda.
Di bawah ini adalah sebagian kode yang membaca informasi KeyChain komputer.
Setelah mengumpulkan informasi sistem, data peramban, data dompet kripto, data Telegram, data catatan Notes, dan data Cookie, kode jahat ini akan mengompres dan mengirimkannya ke server yang dikendalikan oleh hacker (141.98.9.20).
Karena program jahat ini mengundang pengguna untuk memasukkan kata sandi saat dijalankan, dan skrip jahat selanjutnya juga akan mengumpulkan data KeyChain di komputer (yang mungkin menyimpan berbagai kata sandi pengguna), hacker akan berusaha mendekripsi data yang telah dikumpulkan untuk mendapatkan frase pemulihan dompet, kunci pribadi, dan informasi sensitif lainnya, yang akan digunakan untuk mencuri aset pengguna.
Menurut analisis, alamat IP server hacker berada di Belanda dan saat ini telah ditandai sebagai jahat oleh platform intelijen ancaman.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analisis dinamis
Dalam lingkungan virtual, program jahat ini dieksekusi secara dinamis dan prosesnya dianalisis. Di bawah ini adalah informasi pemantauan proses pengumpulan data dari mesin ini dan pengiriman data ke backend oleh program jahat.
Analisis MistTrack
Kami menggunakan alat pelacakan on-chain MistTrack untuk menganalisis alamat hacker yang diberikan oleh korban 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: alamat hacker tersebut menghasilkan lebih dari 1 juta USD, termasuk USD0++, MORPHO, dan ETH; di mana, USD0++ dan MORPHO ditukar menjadi 296 ETH.
Menurut MistTrack, alamat hacker pernah menerima ETH kecil yang masuk dari alamat 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, yang diduga memberikan biaya transaksi untuk alamat hacker tersebut. Alamat (0xb01c) hanya memiliki satu sumber pendapatan, tetapi mentransfer ETH kecil ke hampir 8,800 alamat, tampaknya menjadi "platform yang khusus memberikan biaya transaksi".
Menyaring objek yang ditransfer dari alamat (0xb01c) yang ditandai sebagai jahat, terkait dengan dua alamat phishing, salah satunya ditandai sebagai Pink Drainer. Analisis lebih lanjut menunjukkan bahwa dana sebagian besar dipindahkan ke ChangeNOW dan MEXC.
Kemudian menganalisis keadaan transfer dana yang dicuri, total 296.45 ETH telah dipindahkan ke alamat baru 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Waktu transaksi pertama dari alamat baru (0xdfe7) adalah pada bulan Juli 2023, melibatkan beberapa rantai, saat ini saldo adalah 32.81 ETH.
Jalur utama ETH keluar dari alamat baru (0xdfe7) adalah sebagai berikut:
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> ditukar menjadi 15,720 USDT
14.39 ETH -> Gate.io
Transfer berikut dari alamat yang diperluas di atas terkait dengan beberapa platform seperti Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, dan terkait dengan beberapa alamat yang ditandai oleh MistTrack sebagai Angel Drainer dan Theft. Selain itu, saat ini ada 99,96 ETH yang tertinggal di alamat 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Jejak transaksi USDT dari alamat baru (0xdfe7) juga sangat banyak, ditransfer ke Binance, MEXC, FixedFloat, dan platform lainnya.
Kesimpulan
Jalur phishing yang dibagikan kali ini adalah hacker menyamar sebagai tautan rapat Zoom yang normal, mengundang pengguna untuk mengunduh dan menjalankan perangkat lunak jahat. Perangkat lunak jahat biasanya memiliki banyak fungsi berbahaya seperti mengumpulkan informasi sistem, mencuri data peramban, dan mendapatkan informasi dompet kripto, serta mengirimkan data ke server yang dikendalikan oleh hacker. Jenis serangan ini biasanya menggabungkan teknik serangan rekayasa sosial dan serangan trojan, sehingga pengguna yang sedikit ceroboh dapat terjebak. Tim keamanan SlowMist menyarankan pengguna untuk memverifikasi tautan rapat dengan hati-hati sebelum mengklik, menghindari mengeksekusi perangkat lunak dan perintah yang tidak diketahui sumbernya, serta menginstal perangkat lunak antivirus dan memperbaruinya secara berkala. Untuk lebih banyak pengetahuan tentang keamanan, disarankan membaca (Panduan Penyelamatan Hutan Gelap Blockchain) yang diterbitkan oleh tim keamanan SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
