Titolo originale: (Ciò che si vede non è reale | Analisi del phishing di una falsa riunione Zoom)
Fonte originale: SlowMist Technology
Contesto
Recentemente, diversi utenti su X hanno segnalato un metodo di attacco di phishing mascherato da link a riunioni Zoom, in cui una vittima ha installato malware dopo aver cliccato su un link malevolo di riunione Zoom, portando al furto di criptovalute per un valore di milioni di dollari. In questo contesto, il team di sicurezza di SlowMist ha analizzato questo tipo di eventi di phishing e metodi di attacco, tracciando il flusso di fondi degli hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Analisi dei link di phishing
Gli hacker utilizzano nomi di dominio come "app[.]us4zoom[.]us" per mascherarsi da normali link di riunioni Zoom, la pagina è molto simile a quella di una vera riunione Zoom; quando l'utente fa clic sul pulsante "Avvia riunione", viene attivato il download di un pacchetto di installazione malevolo, invece di avviare il client Zoom locale.
Attraverso il rilevamento del dominio sopra menzionato, abbiamo scoperto l'indirizzo del log di monitoraggio degli hacker (https[:]//app[.]us4zoom[.]us/error_log).
La decrittazione rivela che si tratta di una voce di log mentre lo script tenta di inviare messaggi tramite l'API di Telegram, con la lingua utilizzata in russo.
Il sito è stato lanciato 27 giorni fa, gli hacker potrebbero essere russi e hanno iniziato a cercare obiettivi il 14 novembre, monitorando tramite l'API di Telegram se ci sono clic sui pulsanti di download delle pagine di phishing.
Analisi del malware
Il nome di questo pacchetto malevolo è "ZoomApp_v.3.14.dmg"; di seguito è riportata l'interfaccia aperta da questo software di phishing Zoom, che induce gli utenti a eseguire lo script malevolo ZoomApp.file nel Terminale e durante il processo li induce anche a inserire la password del computer.
Di seguito sono riportati i contenuti di esecuzione di questo file malevolo:
Dopo aver decifrato il contenuto sopra menzionato, si scopre che si tratta di uno script malevolo osascript.
Continuando l'analisi, si scopre che questo script cerca un file eseguibile nascosto chiamato ".ZoomApp" e lo esegue localmente. Abbiamo analizzato il pacchetto di installazione originale "ZoomApp_v.3.14.dmg" e abbiamo scoperto che il pacchetto nascondeva effettivamente un file eseguibile chiamato ".ZoomApp".
Analisi del comportamento malevolo
Analisi statica
Abbiamo caricato questo file binario sulla piattaforma di intelligence sulle minacce per l'analisi, e abbiamo scoperto che questo file è stato contrassegnato come malevolo.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Attraverso l'analisi statica del disassemblaggio, la figura sottostante mostra il codice di ingresso di questo file binario, utilizzato per la decrittazione dei dati e l'esecuzione degli script.
Di seguito sono riportati alcuni dati, dove la maggior parte delle informazioni è stata crittografata e codificata.
Dopo aver decrittato i dati, si scopre che questo file binario esegue anch'esso uno script malevolo osascript (il codice di decrittazione completo è stato condiviso su: https://pastebin.com/qRYQ44xa), che raccoglie informazioni sui dispositivi degli utenti e le invia al backend.
Di seguito è riportato un frammento di codice che enumera le informazioni sui percorsi di diversi ID di plugin.
Di seguito è mostrato un frammento di codice che legge le informazioni della KeyChain del computer.
Dopo che il codice malevolo ha raccolto informazioni di sistema, dati del browser, dati del portafoglio crittografico, dati di Telegram, dati delle note e dati dei cookie, li comprimerà e invierà al server controllato dagli hacker (141.98.9.20).
Poiché il malware induce l'utente a inserire la password durante l'esecuzione e gli script malevoli successivi raccolgono anche i dati della KeyChain del computer (che potrebbero contenere varie password salvate dall'utente), gli hacker, dopo aver raccolto, tenteranno di decrittare i dati per ottenere frasi mnemoniche del portafoglio, chiavi private e altre informazioni sensibili, rubando così gli asset dell'utente.
Secondo l'analisi, l'indirizzo IP del server dell'hacker si trova nei Paesi Bassi e attualmente è stato contrassegnato come malevolo dalla piattaforma di intelligence sulle minacce.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analisi dinamica
Eseguendo dinamicamente questo programma malevolo in un ambiente virtuale e analizzando i processi, la figura sottostante mostra il monitoraggio dei processi di raccolta dei dati della macchina locale e l'invio dei dati al server di backend.
Analisi di MistTrack
Utilizziamo lo strumento di tracciamento on-chain MistTrack per analizzare l'indirizzo dell'hacker fornito dalla vittima 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: l'indirizzo dell'hacker ha guadagnato oltre 1 milione di dollari, inclusi USD0++, MORPHO e ETH; di questi, USD0++ e MORPHO sono stati scambiati per 296 ETH.
Secondo MistTrack, l'indirizzo dell'hacker ha ricevuto piccole quantità di ETH da un indirizzo 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, sospettato di fornire commissioni all'indirizzo dell'hacker. Questo indirizzo (0xb01c) ha una sola fonte di reddito, ma ha trasferito piccole quantità di ETH a quasi 8.800 indirizzi, apparendo come una "piattaforma che fornisce esclusivamente commissioni".
Filtrando gli oggetti di uscita dall'indirizzo (0xb01c) contrassegnati come malevoli, sono stati associati a due indirizzi di phishing, uno dei quali è stato contrassegnato come Pink Drainer; un'analisi approfondita di questi due indirizzi di phishing mostra che i fondi sono stati principalmente trasferiti a ChangeNOW e MEXC.
Successivamente, analizziamo i trasferimenti di fondi rubati, per un totale di 296,45 ETH trasferiti al nuovo indirizzo 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
La prima transazione dal nuovo indirizzo (0xdfe7) è avvenuta a luglio 2023, coinvolgendo più catene, con un saldo attuale di 32,81 ETH.
Il principale percorso di uscita di ETH dal nuovo indirizzo (0xdfe7) è il seguente:
· 200,79 ETH -> 0x19e0…5c98f
· 63,03 ETH -> 0x41a2…9c0b
· 8,44 ETH -> scambiato per 15.720 USDT
· 14,39 ETH -> Gate.io
Gli indirizzi di uscita successivi a quello sopra menzionato sono associati a più piattaforme come Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, e sono correlati a più indirizzi contrassegnati da MistTrack come Angel Drainer e Theft. Inoltre, attualmente ci sono 99,96 ETH bloccati all'indirizzo 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Le tracce delle transazioni USDT dal nuovo indirizzo (0xdfe7) sono anch'esse numerose, trasferite a piattaforme come Binance, MEXC, FixedFloat, ecc.
Riepilogo
Il metodo di phishing presentato in questa condivisione è stato messo in atto dagli hacker mascherandosi come link a normali riunioni Zoom, inducendo gli utenti a scaricare ed eseguire malware. Il malware è solitamente in grado di raccogliere informazioni di sistema, rubare dati del browser e ottenere informazioni sui portafogli di criptovalute, trasmettendo i dati a server controllati dagli hacker. Questo tipo di attacco combina tipicamente tecniche di ingegneria sociale e attacchi trojan, e gli utenti, con una semplice distrazione, possono facilmente cadere nella trappola. Il team di sicurezza di SlowMist consiglia agli utenti di verificare attentamente i link delle riunioni prima di fare clic, evitando di eseguire software e comandi di origine sconosciuta, installare software antivirus e aggiornarlo regolarmente. Per ulteriori informazioni sulla sicurezza, si consiglia di leggere il manuale di autodifesa della foresta oscura blockchain realizzato dal team di sicurezza di SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
