Titlul original: (Ceea ce văd nu este real | Analiza phishing-ului Zoom fals)
Sursa originală: SlowMist Technology
Context
Recent, mai mulți utilizatori de pe X au raportat o metodă de atac de phishing care se deghizează ca un link de întâlnire Zoom, iar una dintre victime a instalat software malițios după ce a făcut clic pe un link malițios de întâlnire Zoom, rezultând un furt de active criptografice în valoare de milioane de dolari. În acest context, echipa de securitate SlowMist a început analiza acestor incidente de phishing și metode de atac și a urmărit fluxul de fonduri al hackerilor.
(https://x.com/lsp8940/status/1871350801270296709)
Analiza linkurilor de phishing
Hackerii folosesc un domeniu de genul „app[.]us4zoom[.]us” pentru a se deghiza ca un link normal de întâlnire Zoom, iar pagina este extrem de similară cu o întâlnire Zoom reală; atunci când utilizatorul face clic pe butonul „Start Meeting”, va declanșa descărcarea pachetului de instalare malițios, în loc să pornească clientul local Zoom.
Prin explorarea domeniului menționat mai sus, am descoperit adresa jurnalului de monitorizare a hackerilor (https[:]//app[.]us4zoom[.]us/error_log).
Decodarea a relevat că acesta este un jurnal de încercare a scriptului de a trimite mesaje prin API-ul Telegram, iar limba folosită este rusă.
Site-ul a fost lansat cu 27 de zile în urmă, hackerii ar putea fi ruși și au început să caute ținte de la 14 noiembrie, apoi au monitorizat prin API-ul Telegram dacă există ținte care să apese butonul de descărcare de pe pagina de phishing.
Analiză software malițios
Pachetul de instalare malițios se numește „ZoomApp_v.3.14.dmg”, iar mai jos este interfața pe care o deschide acest software de phishing Zoom, inducând utilizatorii să execute scriptul malițios ZoomApp.file în Terminal, iar pe parcursul execuției, utilizatorii sunt, de asemenea, induși să introducă parola mașinii lor.
Mai jos sunt detaliile de execuție ale acestui fișier malițios:
Decodând conținutul menționat mai sus, am descoperit că acesta este un script malițios osascript.
Continuând analiza, s-a descoperit că scriptul caută un fișier executabil ascuns numit „.ZoomApp” și îl rulează local. Am realizat o analiză a discului pentru pachetul de instalare original „ZoomApp_v.3.14.dmg” și am descoperit că pachetul de instalare ascunde într-adevăr un fișier executabil numit „.ZoomApp”.
Analiza comportamentului malițios
Analiză statică
Am încărcat acest fișier binar pe platforma de inteligență împotriva amenințărilor pentru analiză și am descoperit că fișierul a fost deja marcat ca fiind malițios.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Prin analiza statică a dezasamblării, imaginea de mai jos reprezintă codul de intrare al acestui fișier binar, utilizat pentru decriptarea datelor și executarea scripturilor.
Imaginea de mai jos este partea de date, unde se poate observa că majoritatea informațiilor au fost criptate și codificate.
După ce datele au fost decriptate, s-a constatat că acest fișier binar executa de asemenea un script malițios osascript (codul complet de decriptare a fost distribuit la: https://pastebin.com/qRYQ44xa), iar acest script colectează informații de pe dispozitivul utilizatorului și le trimite în fundal.
Imaginea de mai jos conține o parte din codul care enumeră informațiile căii diferitelor ID-uri de plugin.
Imaginea de mai jos este o parte din codul care citește informațiile KeyChain ale computerului.
După ce codul malițios a colectat informații despre sistem, date din browser, date despre portofelele criptografice, date Telegram, date din Notes și date Cookie, le va comprima și le va trimite către serverul controlat de hackeri (141.98.9.20).
Deoarece programul malițios induce utilizatorul să introducă o parolă în timpul execuției și ulterior scriptul malițios va colecta datele din KeyChain-ul computerului (care ar putea conține diverse parole salvate de utilizator pe computer), hackerii vor încerca să decripteze datele colectate pentru a obține fraza de recuperare a portofelului utilizatorului, cheia privată și alte informații sensibile, astfel furând activele utilizatorului.
Conform analizei, adresa IP a serverului hackerului se află în Olanda și a fost marcată de platforma de inteligență împotriva amenințărilor ca fiind malițioasă.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Analiză dinamică
Fiind executat dinamic în mediu virtual, acest program malițios a fost analizat, iar imaginea de mai jos arată informațiile de monitorizare a procesului de colectare a datelor de pe mașina locală și a procesului de trimitere a datelor către serverul de fond.
Analiza MistTrack
Am folosit instrumentul de urmărire pe lanț MistTrack pentru a analiza adresa hackerului furnizată de victimă 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: hackerul a câștigat peste 1 milion de dolari, inclusiv USD0++, MORPHO și ETH; dintre acestea, USD0++ și MORPHO au fost schimbate în 296 ETH.
Conform MistTrack, adresa hackerului a primit ETH-uri mici transferate de la adresa 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, suspectate a fi comisioane pentru adresa hackerului. Această adresă (0xb01c) are un singur sursă de venit, dar a transferat sume mici de ETH către aproape 8.800 de adrese, părea să fie o „platformă dedicată furnizării de comisioane”.
Selectând adresa (0xb01c) din obiectele transferate care au fost marcate ca malițioase, sunt asociate cu două adrese de phishing, dintre care una este marcată ca Pink Drainer, iar analiza extinsă a acestor două adrese de phishing a arătat că fondurile au fost transferate în principal către ChangeNOW și MEXC.
Apoi, am analizat transferul fondurilor furate, iar un total de 296.45 ETH a fost transferat către noua adresă 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Prima tranzacție a noii adrese (0xdfe7) a avut loc în iulie 2023, implicând mai multe lanțuri, iar în prezent soldul este de 32.81 ETH.
Calea principală de transfer ETH pentru noua adresă (0xdfe7) este următoarea:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> schimbat în 15.720 USDT
· 14.39 ETH -> Gate.io
Adresele extinse de mai sus sunt asociate cu mai multe platforme precum Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC și sunt legate de mai multe adrese marcate de MistTrack ca Angel Drainer și Theft. În plus, în prezent există 99.96 ETH care stau pe adresa 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Urmările tranzacțiilor USDT pentru noua adresă (0xdfe7) sunt, de asemenea, foarte abundente, fiind transferate către platforme precum Binance, MEXC, FixedFloat etc.
Sumar
Calea de phishing prezentată este că hackerii s-au deghizat într-un link normal de întâlnire Zoom, inducând utilizatorii să descarce și să execute software malițios. Software-ul malițios are de obicei funcții multiple de pericol, cum ar fi colectarea informațiilor sistemului, furtul datelor din browser și obținerea informațiilor despre portofelele de criptomonede, și transferă datele către servere controlate de hackeri. Aceste atacuri combină adesea tehnici de inginerie socială cu tehnici de tip troian, iar utilizatorii care nu sunt atenți pot cădea ușor victime. Echipa de securitate SlowMist recomandă utilizatorilor să verifice cu atenție înainte de a face clic pe linkurile întâlnirii, să evite executarea software-ului și comenzilor de origine necunoscută, să instaleze software antivirus și să actualizeze periodic. Mai multe informații despre securitate pot fi găsite în manualul de auto-apărare din pădurea întunecată a blockchain-ului, publicat de echipa SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
