A SlowMist chamou a atenção para um novo golpe de phishing direcionado a usuários de criptomoedas. O golpe se disfarça como reuniões falsas do Zoom para distribuir malware que rouba dados confidenciais. Ele envolve links falsos do Zoom que enganam as vítimas para que baixem arquivos maliciosos com o objetivo de extrair ativos de criptomoedas.

De acordo com a plataforma de segurança de blockchain SlowMist, os invasores por trás do golpe usaram uma técnica de phishing sofisticada envolvendo um domínio que imitava o domínio legítimo do Zoom. O site de phishing, “app[.]us4zoom[.]us,” parece muito semelhante à interface do site Zoom genuíno.

⚠️Cuidado com ataques de phishing disfarçados de links de reunião do Zoom!🎣 Hackers coletam dados do usuário e os descriptografam para roubar informações confidenciais, como frases mnemônicas e chaves privadas. Esses ataques geralmente combinam engenharia social e técnicas de trojan. Leia nossa análise completa⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 de dezembro de 2024

As vítimas são solicitadas a clicar em um botão “Launch Meeting”, que elas esperam que as leve a uma sessão do Zoom. No entanto, em vez de abrir o aplicativo Zoom, o botão inicia o download de um arquivo malicioso intitulado “ZoomApp_v.3.14.dmg.”

Execução de malware e esquema de roubo de dados descobertos

Uma vez baixado, o arquivo malicioso aciona um script que solicita a senha do sistema do usuário. O script executa um executável oculto chamado “.ZoomApp”, que é projetado para acessar e coletar informações confidenciais do sistema, incluindo cookies do navegador, dados do KeyChain e credenciais de carteira de criptomoeda.

Segundo especialistas em segurança, o malware é especificamente adaptado para atingir usuários de criptomoedas, com a intenção de roubar chaves privadas e outros dados cruciais da carteira. O pacote baixado, uma vez instalado, executará um script chamado “ZoomApp.file”.

Após a execução, o script solicita que os usuários insiram suas senhas do sistema, dando aos hackers acesso a dados confidenciais sem que eles saibam.

Cripto hacks através de links Zoom – Fonte: SlowMist

Após descriptografar os dados, a SlowMist revelou que o script finalmente executa um osascript, que transfere as informações coletadas para os sistemas de backend dos invasores.

A SlowMist também rastreou a criação do site de phishing até 27 dias atrás, suspeitando do envolvimento de hackers russos. Esses hackers têm usado a API do Telegram para monitorar a atividade no site de phishing, rastreando se alguém clicou no link de download. De acordo com a análise da empresa de segurança, os hackers começaram a mirar nas vítimas já em 14 de novembro.

Os fundos roubados foram movidos por meio de várias bolsas

A SlowMist usou a ferramenta de rastreamento on-chain MistTrack para investigar os movimentos de fundos roubados. O endereço do hacker, identificado como 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, supostamente lucrou mais de US$ 1 milhão em criptomoedas, incluindo USD0++, MORPHO e ETH.

Em uma análise detalhada, a MistTrack revelou que o endereço do hacker havia trocado USD0++ e MORPHO por 296 ETH.

Movimentos de criptomoedas roubadas rastreados pelo MistTrack. Fonte: MistTrack

Investigações posteriores mostraram que o endereço do hacker recebeu pequenas transferências de ETH de outro endereço, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que parecia ser responsável por fornecer taxas de transação para o esquema do hacker.

Foi descoberto que o endereço transferia pequenas quantias de ETH para quase 8.800 outros endereços, sugerindo que ele pode fazer parte de uma plataforma maior dedicada a financiar taxas de transação para atividades ilícitas.

Transferências de ETH entre endereços vinculados ao golpe do link do Zoom – Fonte: SlowMist

Uma vez que os fundos roubados foram reunidos, eles foram canalizados por várias plataformas. Binance, Gate.io, Bybit e MEXC estavam entre as exchanges que receberam a criptomoeda roubada. Os fundos foram então consolidados em um endereço diferente, com transações fluindo para várias exchanges, incluindo FixedFloat e Binance. Lá, os fundos roubados foram convertidos em Tether (USDT) e outras criptomoedas.

Os criminosos por trás desse esquema conseguiram escapar da captura direta usando métodos complexos para lavar e converter seus ganhos ilícitos em criptomoedas amplamente utilizadas. A SlowMist alertou os entusiastas de criptomoedas que o site de phishing e endereços associados podem continuar a ter como alvo usuários desavisados ​​de criptomoedas.

Do Zero ao Web3 Pro: Seu Plano de Lançamento de Carreira de 90 Dias