O înșelătorie de phishing care vizează utilizatorii cripto care au folosit linkuri false de întâlnire Zoom ca metodă de distribuire a malware și de furt de activele criptomonede ale țintei a fost descoperită de firma de securitate blockchain SlowMist.
Hackerii au folosit tehnici sofisticate pentru a fura chei private, date portofel și alte informații sensibile, ceea ce a dus la pierderi financiare substanțiale pentru victime. Atacatorii au folosit un domeniu de phishing care imita un domeniu Zoom legitim, „app[.] us4zoom[.] us.”, a raportat SlowMist pe 27 decembrie.
Sursa: SlowMist
Site-ul de înșelătorie a ilustrat interfața Zoom și a păcălit utilizatorii să apese butonul „Lansați întâlnirea”. Butonul nu a deschis aplicația Zoom; a început să descarce un pachet de instalare rău intenționat numit „ZoomApp_v.3. 14. dmg”. După instalare, acest pachet a rulat un script numit „ZoomApp.file” care le-a cerut utilizatorilor să introducă parola de sistem.
⚠️Atenție la atacurile de phishing deghizate în link-uri de întâlnire Zoom!🎣 Hackerii colectează datele utilizatorilor și le decriptează pentru a fura informații sensibile, cum ar fi fraze mnemonice și chei private. Aceste atacuri combină adesea ingineria socială și tehnicile troiene. Citiți analiza noastră completă⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 decembrie 2024
După analiză, SlowMist a raportat că scriptul a numit un fișier executabil ascuns pentru a fi implementat, numit „.ZoomApp”. Aplicația a încercat să acceseze date precum informații despre sistem, cookie-uri de browser, date KeyChain și acreditări ale portofelului criptomonede. Datele comprimate au fost apoi transmise către un server aflat sub controlul hackerilor, asociat cu adresa IP 141.98.9.20, care a fost etichetată drept rău intenționată de mai multe servicii de informații despre amenințări.
S-ar putea să vă placă și: înșelătoriile legate de măcelărirea porcilor au distrus 3,6 miliarde de dolari în acest an: raport
Malware-ul, identificat ca un troian, a fost apoi supus analizei statice și analizei dinamice, care au arătat că software-ul era, de asemenea, capabil să execute scripturi care decriptau datele, enumerau căile din ID-ul pluginului și extrageau acreditările stocate pe dispozitivul victimei. Acestea au inclus parole stocate, detalii ale portofelului cu criptomonede și acreditări sensibile Telegram, printre alte informații. Acest lucru a permis atacatorilor să obțină fraze mnemonice din portofel și chei private, ceea ce a facilitat furtul unor cantități mari de criptomonede.
Sistemul back-end al atacatorilor, situat în Țările de Jos, a urmărit interacțiunile utilizatorilor prin intermediul API-ului Telegram, cu semne că au folosit scripturi în limba rusă. Campania de phishing a fost lansată pe 14 noiembrie 2024 și a încercat deja să fure milioane de dolari în criptomonede de la diverși utilizatori.
Înșelătorie cu zoom pe lanțul Ethereum
SlowMist a urmărit transferul de fonduri în lanț folosind un instrument de combatere a spălării banilor, MistTrack. Un profit de peste 1 milion de dolari a fost printre adresele unuia dintre hackeri, unde criptomonedele USD0++ și MORPHO au fost convertite în 296 Ethereum (ETH). Banii furați au fost transferați pe o serie de platforme, inclusiv Binance, Gate.io, Bybit și MEXC. O altă adresă, care a fost folosită pentru a face transferuri mici ETH către un total de 8.800 de adrese, a fost inclusă pentru a plăti taxele de tranzacție.
S-ar putea să vă placă și: Escrocii au obținut peste 500.000 USD din peste 15 X încălcări
Analiza blockchain care urmărește activitatea de furt Ethereum, ilustrând fluxul de fonduri furate pe portofele și platforme. Sursa: SlowMist
Acest ETH furat a fost ulterior agregat la o altă adresă, cu transferuri către alte câteva site-uri, inclusiv schimburi precum FixedFloat și Binance, unde a fost convertit în Tether (USDT) și alte criptomonede.
Citește mai mult: Un hacker american riscă o pedeapsă de 20 de ani de închisoare peste 37 de milioane de dolari pentru furt cripto
