Autor | Reborn, Lisa
Editor | Liz
Fundal
Recent, mai mulți utilizatori de pe X au raportat o metodă de atac de phishing care se deghizează ca un link de întâlnire Zoom, dintre care o victimă a instalat un software malițios după ce a clicat pe linkul de întâlnire Zoom malițios, ceea ce a dus la furtul de active criptografice, cu pierderi de milioane de dolari. În acest context, echipa de securitate SlowMist a început analiza acestor evenimente de phishing și metodele de atac și a urmărit fluxul de fonduri al hackerului.
(https://x.com/lsp8940/status/1871350801270296709)
Analiza linkurilor de phishing
Hackerul folosește un nume de domeniu de forma „app[.]us4zoom[.]us” pentru a se deghiza ca un link normal de întâlnire Zoom, pagina fiind foarte similară cu adevărata întâlnire Zoom; când utilizatorul apasă pe butonul „Start Meeting”, va declanșa descărcarea fișierului de instalare malițios în loc să pornească clientul Zoom local.
Prin detectarea domeniului de mai sus, am descoperit adresa jurnalului de monitorizare a hackerului (https[:]//app[.]us4zoom[.]us/error_log).
Dezvăluirea a descoperit că aceste intrări de jurnal sunt înregistrări ale scriptului care încearcă să trimită mesaje prin API-ul Telegram, folosind limba rusă.
Acest site a fost lansat acum 27 de zile, hackerul ar putea fi rus și a început să caute ținte pe 14 noiembrie, apoi a monitorizat prin API-ul Telegram dacă există ținte care au clic pe butonul de descărcare al paginii de phishing.
Analiza software-ului malițios
Fișierul de instalare malițios se numește „ZoomApp_v.3.14.dmg”, iar mai jos este interfața acestui software de phishing Zoom, care îi induce pe utilizatori să execute scriptul malițios ZoomApp.file în Terminal, iar în timpul execuției îi va induce pe utilizatori să introducă parola de pe dispozitiv.
Mai jos sunt conținuturile de execuție ale acestui fișier malițios:
După decodificarea conținutului de mai sus, am descoperit că acesta este un script malițios osascript.
Continuând analiza, am descoperit că scriptul caută un fișier executabil ascuns numit „.ZoomApp” și îl rulează local. Am efectuat o analiză pe disc asupra pachetului de instalare original „ZoomApp_v.3.14.dmg” și am descoperit că pachetul ascunde într-adevăr un fișier executabil numit „.ZoomApp”.
Analiza comportamentului malițios
Analiza statică
Am încărcat acest fișier binar pe platforma de inteligență amenințătoare pentru analiză și am descoperit că fișierul a fost deja marcat ca fișier malițios.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Prin analiza statică a decompilării, diagrama de mai jos este codul de intrare al acestui fișier binar, folosit pentru decriptarea datelor și executarea scriptului.
Diagrama de mai jos arată partea de date, putând observa că cea mai mare parte a informațiilor a fost criptată și codificată.
Prin decriptarea datelor, am descoperit că acest fișier binar execută de asemenea un script malițios osascript (codul complet de decriptare a fost împărtășit la: https://pastebin.com/qRYQ44xa), acest script va colecta informațiile de pe dispozitivul utilizatorului și le va trimite către backend.
Diagrama de mai jos este o parte din cod care enumeră informațiile despre diferitele ID-uri de pluginuri.
Diagrama de mai jos este o parte din cod care citește informațiile din KeyChain-ul computerului.
După ce codul malițios a colectat informațiile de sistem, datele din browser, datele din portofelele criptografice, datele din Telegram, datele din Notes și datele din Cookie, le va comprima și trimite către serverul controlat de hacker (141.98.9.20).
Deoarece programul malițios induce utilizatorul să introducă parola în timpul rulării, iar scripturile malițioase ulterioare vor colecta de asemenea datele din KeyChain-ul computerului (care pot conține diverse parole salvate de utilizator pe computer), hackerul va încerca ulterior să decripteze datele colectate pentru a obține frazele de recuperare, cheile private și alte informații sensibile ale utilizatorului, furând astfel activele utilizatorului.
Conform analizei, adresa IP a serverului hackerului se află în Olanda și a fost deja marcată ca malițioasă de platformele de inteligență amenințătoare.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analiza dinamică
În mediul virtual, programul malițios este executat dinamic și procesul este analizat, diagrama de mai jos arată informațiile de monitorizare a procesului care colectează datele de pe acest dispozitiv și trimite date către backend.
Analiza MistTrack
Am folosit instrumentul de urmărire pe lanț MistTrack pentru a analiza adresa hackerului furnizată de victimă 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: hackerul a obținut profituri de peste 1 milion de dolari, inclusiv USD0++, MORPHO și ETH; dintre acestea, USD0++ și MORPHO au fost schimbate pentru 296 ETH.
Conform celor arătate de MistTrack, adresa hackerului a primit anterior ETH de mică valoare de la adresa 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, suspectată a fi o plată a comisionului pentru adresa hackerului. Adresa (0xb01c) are un singur sursă de venit, dar transferă ETH de mică valoare către aproape 8.800 de adrese, părând a fi o „platformă specializată în furnizarea de comisioane”.
Filtrarea obiectelor transferate din această adresă (0xb01c) care sunt marcate ca malițioase, asociindu-le cu două adrese de phishing, dintre care una este marcată ca Pink Drainer, extinzând analiza acestor două adrese de phishing, fondurile fiind în principal transferate către ChangeNOW și MEXC.
Apoi, am analizat situația transferului fondurilor furate, un total de 296,45 ETH a fost transferat la noua adresă 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Prima tranzacție a noii adrese (0xdfe7) a avut loc în iulie 2023, implicând mai multe lanțuri, iar în prezent soldul este de 32,81 ETH.
Noua adresă (0xdfe7) are următoarele căi principale de transfer ETH:
200,79 ETH -> 0x19e0…5c98f
63,03 ETH -> 0x41a2…9c0b
8,44 ETH -> schimbate pentru 15.720 USDT
14,39 ETH -> Gate.io
Următoarele transferuri ale adresei extinse de mai sus sunt legate de mai multe platforme precum Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC și sunt asociate cu mai multe adrese marcate de MistTrack ca Angel Drainer și Theft. În plus, în prezent există 99,96 ETH care stau pe adresa 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Urmările tranzacțiilor USDT ale noii adrese (0xdfe7) sunt de asemenea foarte numeroase, fiind transferate către platforme precum Binance, MEXC, FixedFloat etc.
Rezumat
Calea de phishing discutată aici implică faptul că hackerul se deghizează ca un link normal de întâlnire Zoom, inducând utilizatorii să descarce și să execute software malițios. Software-ul malițios are în general capacitatea de a colecta informații de sistem, de a fura date din browser și de a obține informații despre portofelele de criptomonede, transmitând datele către serverul controlat de hacker. Aceste atacuri combină de obicei tehnici de inginerie socială și tehnici de atac cu troiani; utilizatorii pot cădea ușor victime. Echipa de securitate SlowMist recomandă utilizatorilor să verifice cu atenție linkurile întâlnirilor înainte de a da clic, evitând executarea software-ului și comenzilor de origine necunoscută, să instaleze software antivirus și să actualizeze periodic. Pentru mai multe informații de securitate, consultați manualul de autoapărare al pădurii întunecate a blockchain-ului, realizat de echipa SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
