Fonte dell'articolo: SlowMist Technology
Autore | Reborn, Lisa
Editor | Liz
Contesto
Recentemente, diversi utenti su X hanno segnalato una tecnica di phishing che si maschera da link di conferenza Zoom; una delle vittime, dopo aver cliccato su un link Zoom malevolo, ha installato un malware, portando al furto di asset crittografici con perdite che ammontano a milioni di dollari. In questo contesto, il team di sicurezza SlowMist ha analizzato questo tipo di eventi di phishing e tecniche di attacco, tracciando i flussi di denaro degli hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Analisi dei link di phishing
Gli hacker utilizzano nomi di dominio come “app[.]us4zoom[.]us” per mascherarsi da normali link di conferenza Zoom; la pagina è molto simile a una vera conferenza Zoom, e quando l'utente clicca sul pulsante “Avvia conferenza”, viene attivato il download di un pacchetto di installazione malevolo, anziché avviare il client Zoom locale.
Dalla scansione dei nomi di dominio sopra menzionati, abbiamo trovato l'indirizzo dei log di monitoraggio degli hacker (https[:]//app[.]us4zoom[.]us/error_log).
L'analisi ha rivelato che questo è un log di un tentativo di inviare un messaggio tramite Telegram API, utilizzando il russo come lingua.
Questo sito è stato lanciato 27 giorni fa; gli hacker potrebbero essere russi e hanno iniziato a cercare obiettivi dal 14 novembre, monitorando poi tramite Telegram API se ci sono stati clic sui pulsanti di download della pagina di phishing.
Analisi del malware
Il nome del file di questo pacchetto di installazione malevolo è “ZoomApp_v.3.14.dmg”; di seguito è mostrata l'interfaccia di questo software di phishing Zoom, che induce gli utenti a eseguire lo script malevolo ZoomApp.file nel Terminale, e durante il processo li induce anche a inserire la password del computer.
Di seguito sono riportati i contenuti eseguiti da questo file malevolo:
Dalla decodifica del contenuto sopra, si è scoperto che si tratta di uno script osascript malevolo.
Un'ulteriore analisi ha rivelato che questo script cerca un eseguibile nascosto chiamato “.ZoomApp” e lo esegue localmente. Abbiamo effettuato un'analisi del disco del pacchetto di installazione originale “ZoomApp_v.3.14.dmg”, e abbiamo trovato che il pacchetto di installazione nascondeva effettivamente un eseguibile chiamato “.ZoomApp”.
Analisi del comportamento malevolo
Analisi statica
Abbiamo caricato questo file binario sulla piattaforma di intelligence sulle minacce per l'analisi e abbiamo scoperto che il file è stato già contrassegnato come file malevolo.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Dall'analisi statica del disassemblaggio, la figura sottostante mostra il codice di ingresso di questo file binario, utilizzato per la decrittazione dei dati e l'esecuzione dello script.
Nella figura sottostante sono mostrati alcuni dati, la maggior parte delle informazioni è stata crittografata e codificata.
Dopo la decrittazione dei dati, si è scoperto che questo file binario esegue anche uno script osascript malevolo (il codice di decrittazione completo è stato condiviso su: https://pastebin.com/qRYQ44xa), che raccoglie informazioni sui dispositivi degli utenti e le invia al backend.
Nella figura sottostante è mostrato un codice parziale che enumera le informazioni dei diversi ID dei plugin.
Nella figura sottostante è mostrato un codice parziale che legge le informazioni di KeyChain del computer.
Dopo che il codice malevolo ha raccolto informazioni di sistema, dati del browser, dati del portafoglio crittografico, dati Telegram, note e dati dei cookie, li comprime e li invia al server controllato dagli hacker (141.98.9.20).
Poiché il malware induce l'utente a inserire la password durante l'esecuzione e gli script malevoli successivi raccolgono anche i dati di KeyChain del computer (che possono contenere varie password salvate dall'utente), gli hacker tentano poi di decrittare i dati per ottenere le frasi di recupero del portafoglio, le chiavi private e altre informazioni sensibili, portando così al furto degli asset dell'utente.
Dall'analisi, l'indirizzo IP del server degli hacker si trova nei Paesi Bassi ed è stato contrassegnato come malevolo da piattaforme di intelligence sulle minacce.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analisi dinamica
Esecuzione dinamica del malware in un ambiente virtuale e analisi dei processi; la figura sottostante mostra le informazioni di monitoraggio dei processi del malware mentre raccoglie dati dal computer e li invia al backend.
Analisi di MistTrack
Abbiamo analizzato l'indirizzo degli hacker fornito dalla vittima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac utilizzando lo strumento di tracciamento on-chain MistTrack: l'indirizzo degli hacker ha guadagnato oltre 1 milione di dollari, inclusi USD0++, MORPHO e ETH; tra cui, USD0++ e MORPHO sono stati scambiati per 296 ETH.
Secondo MistTrack, l'indirizzo degli hacker ha ricevuto piccole quantità di ETH dall'indirizzo 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, sospettato di fornire commissioni per l'indirizzo degli hacker. Questo indirizzo (0xb01c) ha una sola fonte di reddito, ma ha trasferito piccole quantità di ETH a quasi 8.800 indirizzi, sembrando un 'piattaforma specializzata nella fornitura di commissioni'.
Filtrando gli oggetti di uscita da questo indirizzo (0xb01c) contrassegnati come malevoli, sono stati associati a due indirizzi di phishing; uno di questi è stato contrassegnato come Pink Drainer, e un'analisi più approfondita di questi due indirizzi di phishing mostra che i fondi erano principalmente trasferiti a ChangeNOW e MEXC.
Successivamente, analizziamo la situazione dei fondi rubati, per un totale di 296,45 ETH trasferiti al nuovo indirizzo 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Il primo scambio per il nuovo indirizzo (0xdfe7) risale a luglio 2023, coinvolgendo più catene, e attualmente il saldo è di 32,81 ETH.
Nuovo indirizzo (0xdfe7) il principale percorso di trasferimento di ETH è il seguente:
200,79 ETH -> 0x19e0…5c98f
63,03 ETH -> 0x41a2…9c0b
8,44 ETH -> convertiti in 15.720 USDT
14,39 ETH -> Gate.io
I trasferimenti successivi a questo indirizzo esteso sono correlati a più piattaforme come Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, e sono correlati a vari indirizzi contrassegnati da MistTrack come Angel Drainer e Theft. Inoltre, attualmente 99,96 ETH sono in attesa all'indirizzo 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Le tracce delle transazioni USDT nel nuovo indirizzo (0xdfe7) sono molte, trasferite a piattaforme come Binance, MEXC, FixedFloat, ecc.
Riepilogo
Il percorso di phishing condiviso in questo articolo è una tecnica in cui gli hacker si mascherano da normali link di conferenza Zoom, inducendo gli utenti a scaricare ed eseguire malware. Il malware di solito ha molteplici funzioni dannose, come la raccolta di informazioni di sistema, il furto di dati del browser e l'accesso alle informazioni del portafoglio di criptovalute, e trasmette i dati a server controllati dagli hacker. Questo tipo di attacco combina solitamente tecniche di ingegneria sociale e attacchi trojan, e gli utenti possono cadere facilmente in trappola. Il team di sicurezza SlowMist consiglia agli utenti di verificare attentamente i link delle conferenze prima di cliccarci sopra, evitando di eseguire software e comandi di origine sconosciuta, installando software antivirus e aggiornandolo regolarmente. Per ulteriori conoscenze sulla sicurezza, si consiglia di leggere il manuale di auto-salvaguardia della foresta oscura della blockchain prodotto dal team SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
