SlowMist ha attirato l'attenzione su una nuova truffa di phishing rivolta agli utenti di criptovalute. La truffa si camuffa da falsi meeting Zoom per distribuire malware che ruba dati sensibili. Si tratta di link Zoom contraffatti che ingannano le vittime inducendole a scaricare file dannosi volti a estrarre asset di criptovaluta.

Secondo la piattaforma di sicurezza blockchain SlowMist, gli aggressori dietro la truffa hanno utilizzato una sofisticata tecnica di phishing che coinvolge un dominio che imitava il legittimo dominio Zoom. Il sito web di phishing, "app[.]us4zoom[.]us", sembra molto simile all'interfaccia del sito web Zoom originale.

⚠️Attenzione agli attacchi di phishing camuffati da link per riunioni Zoom!🎣 Gli hacker raccolgono i dati degli utenti e li decifrano per rubare informazioni sensibili come frasi mnemoniche e chiavi private. Questi attacchi spesso combinano tecniche di ingegneria sociale e trojan. Leggi la nostra analisi completa⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 dicembre 2024

Le vittime vengono invitate a cliccare sul pulsante "Launch Meeting", che si aspettano di portare a una sessione Zoom. Tuttavia, invece di aprire l'applicazione Zoom, il pulsante avvia il download di un file dannoso denominato "ZoomApp_v.3.14.dmg".

Scoperto il piano di esecuzione di malware e furto di dati

Una volta scaricato, il file dannoso attiva uno script che richiede la password di sistema dell'utente. Lo script esegue un eseguibile nascosto denominato ".ZoomApp", progettato per accedere e raccogliere informazioni di sistema sensibili, tra cui cookie del browser, dati KeyChain e credenziali del portafoglio di criptovaluta.

Secondo gli esperti di sicurezza, il malware è specificamente studiato per colpire gli utenti di criptovalute, con l'intenzione di rubare chiavi private e altri dati cruciali del portafoglio. Il pacchetto scaricato, una volta installato, eseguirà uno script chiamato "ZoomApp.file".

Una volta eseguito, lo script chiede agli utenti di immettere la password di sistema, consentendo inconsapevolmente agli hacker di accedere a dati sensibili.

Hackeraggi di criptovalute tramite link Zoom – Fonte: SlowMist

Dopo aver decrittografato i dati, SlowMist ha rivelato che lo script esegue in ultima analisi un osascript, che trasferisce le informazioni raccolte ai sistemi backend degli aggressori.

SlowMist ha anche fatto risalire la creazione del sito di phishing a 27 giorni fa, sospettando il coinvolgimento di hacker russi. Questi hacker hanno utilizzato l'API di Telegram per monitorare l'attività sul sito di phishing, verificando se qualcuno ha cliccato sul link di download. Secondo l'analisi della società di sicurezza, gli hacker hanno iniziato a prendere di mira le vittime già dal 14 novembre.

I fondi rubati sono stati trasferiti tramite diversi exchange

SlowMist ha utilizzato lo strumento di tracciamento on-chain MistTrack per indagare sui movimenti dei fondi rubati. L'indirizzo dell'hacker, identificato come 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, avrebbe fruttato più di 1 milione di dollari in criptovaluta, tra cui USD0++, MORPHO ed ETH.

In un'analisi dettagliata, MistTrack ha rivelato che l'indirizzo dell'hacker aveva scambiato USD0++ e MORPHO per 296 ETH.

Movimenti di criptovalute rubate tracciati da MistTrack. Fonte: MistTrack

Ulteriori indagini hanno dimostrato che l'indirizzo dell'hacker ha ricevuto piccoli trasferimenti ETH da un altro indirizzo, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, che sembrava essere responsabile della fornitura di commissioni di transazione per lo schema dell'hacker.

Si è scoperto che l'indirizzo trasferisce piccole quantità di ETH a circa 8.800 altri indirizzi, il che suggerisce che potrebbe far parte di una piattaforma più ampia dedicata al finanziamento delle commissioni di transazione per attività illecite.

Trasferimenti ETH tra indirizzi collegati alla truffa del collegamento Zoom – Fonte: SlowMist

Una volta raccolti i fondi rubati, sono stati incanalati attraverso varie piattaforme. Binance, Gate.io, Bybit e MEXC sono stati tra gli exchange che hanno ricevuto la criptovaluta rubata. I fondi sono stati quindi consolidati in un indirizzo diverso, con transazioni che sono confluite in diversi exchange, tra cui FixedFloat e Binance. Lì, i fondi rubati sono stati convertiti in Tether (USDT) e altre criptovalute.

I criminali dietro questo schema sono riusciti a eludere la cattura diretta utilizzando metodi complessi per riciclare e convertire i loro guadagni illeciti in criptovalute ampiamente utilizzate. SlowMist ha avvisato gli appassionati di criptovalute che il sito di phishing e gli indirizzi associati potrebbero continuare a prendere di mira ignari utenti di criptovalute.

Da zero a Web3 Pro: il tuo piano di lancio della carriera di 90 giorni