Título original: (Ver para não acreditar | Análise de phishing de reunião com Zoom falso)
Fonte original: Tecnologia Slow Mist
fundo
Recentemente, muitos usuários em Nesse contexto, a equipe de segurança do SlowMist analisa esses incidentes de phishing e métodos de ataque e rastreia o fluxo de fundos do hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Análise de links de phishing
Os hackers usam nomes de domínio na forma de "app[.]us4zoom[.]us" para se disfarçarem como links normais de reuniões do Zoom. A página é muito semelhante à reunião real do Zoom. isso acionará o download de um pacote de instalação malicioso que não inicia.
Ao detectar o nome de domínio acima, encontramos o endereço do log de monitoramento do hacker (https[:]//app[.]us4zoom[.]us/error_log).
A descriptografia revelou que se trata de uma entrada de log de um script que tenta enviar uma mensagem por meio da API do Telegram, em russo.
O site foi implantado e lançado há 27 dias. Os hackers podem ser russos e estão procurando alvos desde 14 de novembro, e então monitoram através da API do Telegram se algum alvo clica no botão de download da página de phishing.
Análise de malware
O nome do arquivo do pacote de instalação malicioso é "ZoomApp_v.3.14.dmg". A seguir está a interface aberta pelo software de phishing Zoom, que induz o usuário a executar o script malicioso ZoomApp.file no Terminal e durante o processo de execução. , o usuário também é induzido a inserir a senha local.
A seguir está o conteúdo de execução do arquivo malicioso:
A decodificação do conteúdo acima revelou que se tratava de um script osascript malicioso.
A análise contínua descobriu que o script procurava um arquivo executável oculto chamado “.ZoomApp” e o executava localmente. Realizamos uma análise de disco no pacote de instalação original "ZoomApp_v.3.14.dmg" e descobrimos que o pacote de instalação ocultava um arquivo executável chamado ".ZoomApp".
Análise de comportamento malicioso
análise estática
Carregamos o arquivo binário na plataforma de inteligência de ameaças para análise e descobrimos que o arquivo havia sido marcado como malicioso.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Através da análise de desmontagem estática, a figura a seguir mostra o código de entrada do arquivo binário, que é usado para descriptografia de dados e execução de script.
A imagem abaixo é a parte dos dados. Você pode ver que a maior parte das informações foi criptografada e codificada.
Depois de descriptografar os dados, descobriu-se que o arquivo binário também executou um script osascript malicioso (o código de descriptografia completo foi compartilhado em: https://pastebin.com/qRYQ44xa). Este script coletará informações sobre o dispositivo do usuário e. envie-o para segundo plano.
A figura abaixo faz parte do código que enumera as informações de caminho de diferentes IDs de plug-in.
A imagem abaixo faz parte do código para leitura de informações do KeyChain do computador.
Depois que o código malicioso coleta informações do sistema, dados do navegador, dados criptografados da carteira, dados do Telegram, dados de notas do Notes e dados de cookies, ele os compacta e os envia para um servidor controlado pelo hacker (141.98.9.20).
Como o programa malicioso induz o usuário a inserir a senha quando está em execução, e o script malicioso subsequente também coletará os dados do KeyChain no computador (que podem incluir várias senhas salvas pelo usuário no computador), o hacker tentará descriptografar os dados após coletá-los e obter a senha da carteira do usuário, palavras mnemônicas, chaves privadas e outras informações confidenciais, roubando assim os ativos dos usuários.
Segundo a análise, o endereço IP do servidor do hacker está localizado na Holanda e foi sinalizado como malicioso pela plataforma de inteligência de ameaças.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
análise dinâmica
O programa malicioso é executado dinamicamente no ambiente virtual e o processo é analisado. A figura abaixo mostra as informações de monitoramento do processo do programa malicioso coletando dados locais e enviando dados para segundo plano.
Análise MistTrack
Usamos a ferramenta de rastreamento on-chain MistTrack para analisar o endereço do hacker 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac fornecido pela vítima: o endereço do hacker obteve lucro de mais de 1 milhão de dólares, incluindo USD0++, MORPHO e ETH entre eles, USD0++ e MORPHO foram trocados por 296; ETH.
De acordo com o MistTrack, o endereço do hacker recebeu uma pequena quantidade de ETH transferida do endereço 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que é suspeito de fornecer taxas de manuseio para o endereço do hacker. A fonte de renda deste endereço (0xb01c) é apenas um endereço, mas transfere pequenas quantidades de ETH para quase 8.800 endereços. Parece ser uma “plataforma especializada em fornecer taxas de manuseio”.
O endereço (0xb01c) foi verificado em busca de endereços marcados como maliciosos no objeto de transferência e foi associado a dois endereços de phishing, um dos quais foi marcado como Pink Drainer. Após extensa análise desses dois endereços de phishing, os fundos foram basicamente transferidos para ChangeNOW. e MEXC.
Analisando então a transferência dos fundos roubados, um total de 296,45 ETH foram transferidos para o novo endereço 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
A primeira transação do novo endereço (0xdfe7) foi em julho de 2023, envolvendo múltiplas cadeias, e o saldo atual é de 32,81 ETH.
O principal caminho de transferência ETH do novo endereço (0xdfe7) é o seguinte:
· 200,79 ETH -> 0x19e0…5c98f
· 63,03 ETH -> 0x41a2…9c0b
· 8,44 ETH -> convertido para 15.720 USDT
· 14,39 ETH -> Gate.io
As transferências subsequentes dos endereços estendidos acima estão associadas a múltiplas plataformas, como Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, e estão relacionadas a vários endereços marcados como Angel Drainer e Theft por MistTrack. Além disso, existem atualmente 99,96 ETH presos no endereço 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Existem também muitos vestígios de transações de USDT no novo endereço (0xdfe7), que foram transferidas para Binance, MEXC, FixedFloat e outras plataformas.
Resumir
O método de phishing compartilhado desta vez é que os hackers se disfarçam como links normais de reuniões do Zoom para induzir os usuários a baixar e executar malware. O malware geralmente tem múltiplas funções prejudiciais, como coletar informações do sistema, roubar dados do navegador e obter informações de carteiras de criptomoedas, e transmite os dados para servidores controlados por hackers. Esse tipo de ataque geralmente combina ataques de engenharia social e técnicas de ataque de cavalos de Tróia, e os usuários serão vítimas deles se não tomarem cuidado. A equipe de segurança do SlowMist recomenda que os usuários verifiquem cuidadosamente antes de clicar nos links das reuniões, evitem executar softwares e comandos de fontes desconhecidas, instalem software antivírus e atualizem-no regularmente. Para mais conhecimentos de segurança, recomenda-se a leitura do (Blockchain Dark Forest Self-Rescue Handbook) produzido pela equipe de segurança Slow Mist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/ principal/README_CN.md .
Link original
