SlowMist a atras atenția asupra unei noi escrocherii de tip phishing care vizează utilizatorii de criptomonede. Escrocheria se deghizează în întâlniri false Zoom pentru a distribui programe malware care fură date sensibile. Este vorba de legături Zoom contrafăcute care păcălesc victimele să descarce fișiere rău intenționate care vizează extragerea activelor criptomonede.

Potrivit platformei de securitate blockchain SlowMist, atacatorii din spatele înșelătoriei au folosit o tehnică de phishing sofisticată care implică un domeniu care imita domeniul legitim Zoom. Site-ul web de phishing, „app[.]us4zoom[.]us”, arată foarte asemănător cu interfața veritabilă a site-ului Zoom. 

⚠️Atenție la atacurile de tip phishing deghizate în link-uri de întâlnire Zoom!🎣 Hackerii colectează datele utilizatorilor și le decriptează pentru a fura informații sensibile, cum ar fi fraze mnemonice și chei private. Aceste atacuri combină adesea ingineria socială și tehnicile troiene. Citiți analiza noastră completă⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 decembrie 2024

Victimelor li se solicită să facă clic pe butonul „Lansați întâlnirea”, pe care se așteaptă să le ducă la o sesiune Zoom. Cu toate acestea, în loc să deschidă aplicația Zoom, butonul inițiază descărcarea unui fișier rău intenționat intitulat „ZoomApp_v.3.14.dmg”.

Execuția programelor malware și trucul de furt de date au fost descoperite 

Odată descărcat, fișierul rău intenționat declanșează un script care solicită parola de sistem a utilizatorului. Scriptul execută un executabil ascuns numit „.ZoomApp”, care este conceput pentru a accesa și colecta informații sensibile ale sistemului, inclusiv cookie-uri de browser, date KeyChain și acreditări ale portofelului criptomonede. 

Potrivit experților în securitate, malware-ul este special conceput pentru a viza utilizatorii de criptomonede, cu intenția de a fura chei private și alte date esențiale ale portofelului. Pachetul descărcat, odată instalat, va rula un script numit „ZoomApp.file”.

La execuție, scriptul solicită utilizatorilor să introducă parola de sistem, oferind hackerilor, fără să știe, acces la date sensibile. 

Hackuri criptografice prin link-uri Zoom – Sursa: SlowMist

După decriptarea datelor, SlowMist a dezvăluit că scriptul execută în cele din urmă un osascript, care transferă informațiile colectate către sistemele backend ale atacatorilor.

SlowMist a urmărit, de asemenea, crearea site-ului de phishing cu 27 de zile în urmă, suspectând implicarea hackerilor ruși. Acești hackeri au folosit API-ul Telegram pentru a monitoriza activitatea pe site-ul de phishing, urmărind dacă cineva a făcut clic pe linkul de descărcare. Potrivit analizei companiei de securitate, hackerii au început să vizeze victimele încă din 14 noiembrie.

Fondurile furate au fost mutate prin mai multe schimburi 

SlowMist a folosit instrumentul de urmărire în lanț MistTrack pentru a investiga mișcările fondurilor furate. Adresa hackerului, identificată ca 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, a profitat de peste 1 milion de dolari în criptomonede, inclusiv USD0++, MORPHO și ETH.

Într-o analiză detaliată, MistTrack a dezvăluit că adresa hackerului a schimbat USD0++ și MORPHO pentru 296 ETH.

Mișcările cripto furate urmărite de MistTrack. Sursa: MistTrack

O investigație ulterioară a arătat că adresa hackerului a primit mici transferuri ETH de la o altă adresă, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, care părea să fie responsabilă pentru furnizarea de taxe de tranzacție pentru schema hackerului. 

S-a descoperit că adresa transferă cantități mici de ETH către alte aproape 8.800 de adrese, sugerând că ar putea face parte dintr-o platformă mai mare dedicată finanțării taxelor de tranzacție pentru activități ilicite.

Transferuri ETH între adrese legate de înșelătoria de linkuri Zoom – Sursa: SlowMist

Odată ce fondurile furate au fost strânse, acestea au fost canalizate prin diverse platforme. Binance, Gate.io, Bybit și MEXC au fost printre schimburile care au primit criptomoneda furată. Fondurile au fost apoi consolidate la o adresă diferită, tranzacțiile care au fost transferate în mai multe schimburi, inclusiv FixedFloat și Binance. Acolo, fondurile furate au fost convertite în Tether (USDT) și alte criptomonede.

Infractorii din spatele acestei scheme au reușit să evite capturarea directă folosind metode complexe de spălare și de a converti câștigurile ilicite în criptomonede utilizate pe scară largă. SlowMist i-a avertizat pe pasionații de criptomonede că site-ul de phishing și adresele asociate pot continua să vizeze utilizatorii de criptomonede nebănuiți.

De la zero la Web3 Pro: planul tău de lansare a carierei de 90 de zile