Judul asli: (Melihat Tidak Selalu Benar | Analisis Phishing Rapat Zoom Palsu)
Sumber asli: Slow Mist Technology
Latar Belakang
Belakangan ini, banyak pengguna di X melaporkan teknik serangan phishing yang menyamar sebagai tautan rapat Zoom, di mana salah satu korban menginstal perangkat lunak berbahaya setelah mengklik tautan rapat Zoom yang berbahaya, menyebabkan aset kripto dicuri dengan kerugian mencapai satu juta dolar. Dalam konteks ini, tim keamanan Slow Mist melakukan analisis terhadap insiden phishing dan teknik serangan ini, serta melacak aliran dana peretas.
(https://x.com/lsp8940/status/1871350801270296709)
Analisis Tautan Phishing
Peretas menggunakan nama domain seperti "app[.]us4zoom[.]us" untuk menyamar sebagai tautan rapat Zoom yang normal, halaman tersebut sangat mirip dengan rapat Zoom yang sebenarnya, ketika pengguna mengklik tombol "Mulai Rapat", itu akan memicu unduhan paket instalasi berbahaya, bukan memulai klien Zoom lokal.
Melalui deteksi nama domain di atas, kami menemukan alamat log pemantauan peretas (https[:]//app[.]us4zoom[.]us/error_log).
Dekripsi mengungkapkan bahwa ini adalah entri log ketika skrip mencoba mengirim pesan melalui API Telegram, dengan bahasa yang digunakan adalah Rusia.
Situs ini telah diluncurkan selama 27 hari, kemungkinan peretasnya adalah orang Rusia, dan mulai mencari target sejak 14 November, lalu memantau melalui API Telegram untuk melihat apakah ada target yang mengklik tombol unduh di halaman phishing.
Analisis Perangkat Lunak Berbahaya
File paket instalasi berbahaya ini bernama "ZoomApp_v.3.14.dmg", berikut adalah antarmuka perangkat lunak phishing Zoom yang dibuka, yang memancing pengguna untuk menjalankan skrip berbahaya ZoomApp.file di Terminal, dan selama proses eksekusi juga akan memancing pengguna untuk memasukkan kata sandi mesin lokal.
Berikut adalah konten eksekusi dari file berbahaya tersebut:
Setelah mendekode konten di atas, terungkap bahwa ini adalah skrip osascript berbahaya.
Analisis selanjutnya menemukan bahwa skrip ini mencari file eksekusi tersembunyi bernama ".ZoomApp" dan menjalankannya secara lokal. Kami melakukan analisis disk terhadap paket instalasi asli "ZoomApp_v.3.14.dmg", dan menemukan bahwa paket instalasi tersebut memang menyembunyikan file eksekusi bernama ".ZoomApp".
Analisis Perilaku Berbahaya
Analisis Statik
Kami mengunggah file biner ini ke platform intelijen ancaman untuk analisis, dan menemukan bahwa file tersebut telah ditandai sebagai file berbahaya.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Melalui analisis disassembly statik, gambar di bawah ini adalah kode masuk untuk file biner ini, yang digunakan untuk dekripsi data dan eksekusi skrip.
Gambar di bawah ini adalah bagian data, dapat dilihat bahwa sebagian besar informasi telah dienkripsi dan dikodekan.
Setelah mendekripsi data, terungkap bahwa file biner ini juga menjalankan skrip osascript berbahaya (kode dekripsi lengkap telah dibagikan di: https://pastebin.com/qRYQ44xa), skrip ini akan mengumpulkan informasi dari perangkat pengguna dan mengirimkannya ke latar belakang.
Gambar di bawah ini adalah sebagian kode untuk enumerasi informasi jalur ID plugin yang berbeda.
Gambar di bawah ini adalah sebagian kode untuk membaca informasi KeyChain komputer.
Setelah mengumpulkan informasi sistem, data browser, data dompet kripto, data Telegram, data catatan, dan data Cookie, kode berbahaya tersebut akan mengompres dan mengirimkannya ke server yang dikendalikan oleh peretas (141.98.9.20).
Karena program berbahaya ini menginduksi pengguna untuk memasukkan kata sandi saat berjalan, dan skrip berbahaya selanjutnya juga akan mengumpulkan data KeyChain di komputer (yang mungkin berisi berbagai kata sandi yang disimpan pengguna di komputer), peretas akan mencoba mendekripsi data yang dikumpulkan untuk mendapatkan frase pemulihan dompet, kunci pribadi, dan informasi sensitif lainnya, sehingga mencuri aset pengguna.
Menurut analisis, alamat IP server peretas berada di Belanda, dan saat ini telah ditandai sebagai berbahaya oleh platform intelijen ancaman.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analisis Dinamis
Menjalankan program berbahaya ini secara dinamis di lingkungan virtual dan menganalisis prosesnya, gambar di bawah ini menunjukkan informasi pemantauan proses program berbahaya yang mengumpulkan data mesin lokal dan mengirimkan data ke latar belakang.
Analisis MistTrack
Kami menggunakan alat pelacakan on-chain MistTrack untuk menganalisis alamat peretas yang disediakan oleh korban 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: alamat peretas menghasilkan lebih dari 1 juta USD, termasuk USD0++, MORPHO, dan ETH; di antara itu, USD0++ dan MORPHO ditukar menjadi 296 ETH.
Menurut MistTrack, alamat peretas pernah menerima sedikit ETH yang ditransfer dari alamat 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, diduga untuk menyediakan biaya transaksi untuk alamat peretas tersebut. Alamat (0xb01c) hanya memiliki satu sumber pendapatan, tetapi mentransfer sedikit ETH ke hampir 8,800 alamat, tampaknya menjadi "platform yang khusus menyediakan biaya transaksi."
Menyaring objek keluaran dari alamat (0xb01c) yang ditandai sebagai berbahaya, terkait dengan dua alamat phishing, salah satunya ditandai sebagai Pink Drainer, analisis mendalam terhadap dua alamat phishing ini menunjukkan bahwa dana sebagian besar dipindahkan ke ChangeNOW dan MEXC.
Kemudian menganalisis situasi keluaran dana yang dicuri, total ada 296.45 ETH yang dipindahkan ke alamat baru 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Transaksi pertama dari alamat baru (0xdfe7) terjadi pada Juli 2023, melibatkan beberapa rantai, saat ini saldo adalah 32.81 ETH.
Jalur utama keluaran ETH dari alamat baru (0xdfe7) adalah sebagai berikut:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> ditukar menjadi 15,720 USDT
· 14.39 ETH -> Gate.io
Alamat ekstensi di atas untuk keluaran selanjutnya terkait dengan beberapa platform seperti Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, dan terkait dengan beberapa alamat yang ditandai oleh MistTrack sebagai Angel Drainer dan Theft. Selain itu, saat ini ada 99.96 ETH yang tertahan di alamat 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Jejak transaksi USDT dari alamat baru (0xdfe7) juga sangat banyak, yang dipindahkan ke platform seperti Binance, MEXC, FixedFloat, dan lain-lain.
Kesimpulan
Jalur phishing yang dibagikan kali ini adalah peretas yang berpura-pura menjadi tautan rapat Zoom yang normal, yang memancing pengguna untuk mengunduh dan menjalankan perangkat lunak berbahaya. Perangkat lunak berbahaya biasanya memiliki fungsi berbahaya yang beragam, termasuk mengumpulkan informasi sistem, mencuri data browser, dan mendapatkan informasi dompet kripto, serta mentransfer data ke server yang dikontrol oleh peretas. Serangan semacam ini biasanya menggabungkan teknik serangan rekayasa sosial dan serangan trojan, di mana pengguna dapat terjebak dengan sedikit kelalaian. Tim keamanan Slow Mist menyarankan pengguna untuk memverifikasi tautan rapat dengan hati-hati sebelum mengklik, menghindari menjalankan perangkat lunak dan perintah dari sumber yang tidak jelas, serta menginstal perangkat lunak antivirus dan memperbaruinya secara berkala. Untuk lebih banyak pengetahuan keamanan, disarankan untuk membaca (Buku Panduan Penyelamatan Hutan Gelap Blockchain) yang diterbitkan oleh tim keamanan Slow Mist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
