Autore | Reborn, Lisa
Editor | Liz
Contesto
Recentemente, diversi utenti su X hanno segnalato un attacco di phishing mascherato da link di riunione Zoom, dove una vittima ha installato malware dopo aver cliccato su un link di riunione Zoom malevolo, portando al furto di beni crittografici, con perdite che raggiungono milioni di dollari. In questo contesto, il team di sicurezza SlowMist ha avviato un'analisi di questi eventi di phishing e delle tecniche di attacco, e ha tracciato il flusso di fondi degli hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Analisi dei link di phishing
Gli hacker hanno utilizzato nomi di dominio come "app[.]us4zoom[.]us" per mascherarsi da link normali di riunione Zoom; la pagina è altamente simile a una vera riunione Zoom, quando l'utente clicca sul pulsante "Avvia riunione", viene attivato il download del pacchetto malevolo, invece di avviare il client Zoom locale.
Attraverso il probing del dominio sopra, abbiamo scoperto l'indirizzo del log di monitoraggio degli hacker (https[:]//app[.]us4zoom[.]us/error_log).
Decifrando, si scopre che questo è un log quando lo script tenta di inviare un messaggio tramite l'API di Telegram, e la lingua utilizzata è il russo.
Il sito è stato attivato 27 giorni fa, gli hacker potrebbero essere russi e hanno iniziato a cercare obiettivi a partire dal 14 novembre, quindi monitorano tramite l'API di Telegram se ci sono obiettivi che cliccano sul pulsante di download della pagina di phishing.
Analisi del malware
Il nome del file del pacchetto malevolo è "ZoomApp_v.3.14.dmg"; di seguito è mostrata l'interfaccia di questo software di phishing Zoom, che induce gli utenti a eseguire lo script malevolo ZoomApp.file nel Terminale e durante l'esecuzione induce anche l'utente a inserire la password del computer.
Di seguito sono riportati i contenuti di esecuzione di questo file malevolo:
Decodificando il contenuto sopra, si scopre che si tratta di uno script osascript malevolo.
Continuando l'analisi, si scopre che lo script cerca un file eseguibile nascosto chiamato ".ZoomApp" e lo esegue localmente. Abbiamo analizzato il pacchetto di installazione originale "ZoomApp_v.3.14.dmg" e abbiamo scoperto che il pacchetto nascondeva effettivamente un file eseguibile chiamato ".ZoomApp".
Analisi del comportamento malevolo
Analisi statica
Abbiamo caricato questo file binario su una piattaforma di intelligence sulle minacce per l'analisi e abbiamo scoperto che il file è stato contrassegnato come malevolo.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Dall'analisi della disassemblazione statica, il diagramma sottostante mostra il codice di ingresso di questo file binario, utilizzato per la decifratura dei dati e l'esecuzione degli script.
Il diagramma sottostante mostra la parte dei dati, dove si può notare che la maggior parte delle informazioni è stata crittografata e codificata.
Decifrando i dati, si scopre che questo file binario esegue anch'esso uno script osascript malevolo (il codice di decrittazione completo è stato condiviso su: https://pastebin.com/qRYQ44xa), lo script raccoglie informazioni sul dispositivo dell'utente e le invia al backend.
Il codice sottostante è una parte del codice che enumera diverse informazioni sul percorso dell'ID del plugin.
Il diagramma sottostante è una parte del codice che legge le informazioni della KeyChain del computer.
Dopo aver raccolto informazioni di sistema, dati del browser, dati del portafoglio crittografico, dati di Telegram, dati delle note e dati dei cookie, il codice malevolo li comprime e li invia a un server controllato dagli hacker (141.98.9.20).
Poiché il programma malevolo induce l'utente a inserire la password durante l'esecuzione, e gli script malevoli successivi raccolgono anche i dati della KeyChain del computer (che potrebbero contenere varie password salvate dall'utente), gli hacker, dopo aver raccolto questi dati, tenteranno di decifrarli per ottenere le frasi di recupero del portafoglio dell'utente, le chiavi private e altre informazioni sensibili, rubando così i beni dell'utente.
Secondo l'analisi, l'indirizzo IP del server degli hacker si trova nei Paesi Bassi e attualmente è stato contrassegnato come malevolo da una piattaforma di intelligence sulle minacce.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analisi dinamica
In un ambiente virtuale, esegui dinamicamente questo programma malevolo e analizza il processo; il seguente diagramma mostra il monitoraggio del processo del programma malevolo che raccoglie i dati del computer e invia dati al backend.
Analisi di MistTrack
Utilizziamo lo strumento di tracciamento on-chain MistTrack per analizzare l'indirizzo hacker fornito dalla vittima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: l'indirizzo hacker ha guadagnato oltre 1 milione di dollari, inclusi USD0++, MORPHO ed ETH; di cui, USD0++ e MORPHO sono stati scambiati per 296 ETH.
Secondo MistTrack, l'indirizzo hacker ha ricevuto piccole quantità di ETH provenienti dall'indirizzo 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, sospettato di fornire commissioni per l'indirizzo hacker. Questo indirizzo (0xb01c) ha una sola fonte di reddito, ma ha trasferito piccole quantità di ETH a quasi 8.800 indirizzi, sembra essere una "piattaforma specializzata nella fornitura di commissioni".
Filtrando gli oggetti trasferiti da questo indirizzo (0xb01c) che sono stati contrassegnati come malevoli, si collegano a due indirizzi di phishing, uno dei quali è contrassegnato come Pink Drainer; un'analisi approfondita di questi due indirizzi di phishing mostra che i fondi sono praticamente stati trasferiti a ChangeNOW e MEXC.
Successivamente, analizziamo la situazione del trasferimento dei fondi rubati, con un totale di 296,45 ETH trasferiti al nuovo indirizzo 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La prima transazione del nuovo indirizzo (0xdfe7) è avvenuta a luglio 2023, coinvolgendo più catene; attualmente il saldo è di 32,81 ETH.
Il percorso principale di trasferimento ETH per il nuovo indirizzo (0xdfe7) è il seguente:
200,79 ETH -> 0x19e0…5c98f
63,03 ETH -> 0x41a2…9c0b
8,44 ETH -> scambiati per 15.720 USDT
14,39 ETH -> Gate.io
Le successive uscite dell'indirizzo espanso sopra sono collegate a più piattaforme come Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, e sono correlate a diversi indirizzi contrassegnati da MistTrack come Angel Drainer e Theft. Inoltre, attualmente ci sono 99,96 ETH bloccati nell'indirizzo 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Le tracce di transazione USDT del nuovo indirizzo (0xdfe7) sono anche molto numerose, trasferite a Binance, MEXC, FixedFloat e altre piattaforme.
Riepilogo
Il metodo di phishing condiviso in questo documento è che gli hacker si mascherano da normali link di riunione Zoom, inducendo gli utenti a scaricare ed eseguire malware. Il malware di solito ha la capacità di raccogliere informazioni di sistema, rubare dati del browser e ottenere informazioni sui portafogli di criptovaluta, e trasmette i dati a un server controllato dagli hacker. Questo tipo di attacco combina solitamente tecniche di ingegneria sociale e attacchi Trojan, e gli utenti possono cadere facilmente nella trappola. Il team di sicurezza SlowMist consiglia agli utenti di verificare attentamente prima di cliccare sui link delle riunioni, di evitare di eseguire software e comandi di origine sconosciuta, di installare software antivirus e di aggiornarlo regolarmente. Maggiori informazioni sulla sicurezza possono essere trovate nel manuale di auto-salvataggio della foresta oscura della blockchain prodotto dal team di SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
