Автор |Reborn, Ліза
Редактор |Ліз
фон
Останнім часом багато користувачів на У цьому контексті команда безпеки SlowMist аналізує такі випадки фішингу та методи атак, а також відстежує потік коштів хакера.
(https://x.com/lsp8940/status/1871350801270296709)
Аналіз фішингових посилань
Хакери використовують доменні імена у формі «app[.]us4zoom[.]us», щоб замаскувати себе під звичайні посилання на Zoom. Коли користувач натискає кнопку «Почати зустріч», це ініціює завантаження шкідливого інсталяційного пакета, що не запускається, локальний клієнт Zoom.
Завдяки виявленню вищезазначених доменів ми знайшли адреси моніторингу хакера (https[:]//app[.]us4zoom[.]us/error_log).
Дешифрування показало, що це запис логів, коли скрипт намагається відправити повідомлення через Telegram API, використовуючи російську мову.
Цей сайт було запущено 27 днів тому, хакер, ймовірно, є росіянином, і з 14 листопада почав шукати цільові жертви, а потім через Telegram API контролює, чи натискає цільова особа кнопку завантаження на фішинговій сторінці.
Аналіз шкідливого програмного забезпечення
Цей шкідливий інсталяційний пакет має назву "ZoomApp_v.3.14.dmg", нижче наведено інтерфейс цього фішингового програмного забезпечення Zoom, який спонукає користувача виконати шкідливий скрипт ZoomApp.file у Terminal, а під час виконання також спонукає користувача ввести пароль локального комп'ютера.
Нижче наведено вміст виконання цього шкідливого файлу:
Після декодування вищезазначеного виявилось, що це шкідливий скрипт osascript.
Продовжуючи аналіз, було виявлено, що скрипт шукає прихований виконуваний файл з назвою ".ZoomApp" і запускає його локально. Ми провели аналіз диска оригінального інсталяційного пакета "ZoomApp_v.3.14.dmg" і виявили, що пакет дійсно приховував виконуваний файл з назвою ".ZoomApp".
Аналіз шкідливих дій
Статичний аналіз
Ми завантажили цей бінарний файл для аналізу на платформу розвідки загроз і виявили, що цей файл вже помічений як шкідливий.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
За допомогою статичного зворотного аналізу нижче наведено початковий код цього бінарного файлу, що використовується для дешифрування даних та виконання скриптів.
Нижче наведено частину даних, можна помітити, що більшість інформації була зашифрована та закодована.
Після дешифрування даних виявилось, що цей бінарний файл також виконує шкідливий скрипт osascript (повний код дешифрування було подано за адресою: https://pastebin.com/qRYQ44xa), цей скрипт збирає інформацію з пристрою користувача та відправляє на сервер.
Нижче наведено частину коду, що перераховує інформацію про шляхи різних ідентифікаторів плагінів.
Нижче наведено частину коду для зчитування інформації з KeyChain комп'ютера.
Шкідливий код після збору інформації про систему, дані браузера, дані криптогаманця, дані Telegram, нотатки та дані cookie тощо, стискає їх та відправляє на сервер, контрольований хакером (141.98.9.20).
Оскільки шкідливий програмний продукт під час виконання спонукає користувача ввести пароль, а подальші шкідливі скрипти також збирають дані KeyChain з комп'ютера (можливо, містять різні паролі, збережені на комп'ютері користувача), хакер після збору намагається дешифрувати ці дані, отримуючи чутливу інформацію, таку як мнемонічна фраза гаманця, приватні ключі тощо, тим самим викрадаючи активи користувача.
Згідно з аналізом, IP-адреса хакерського сервера розташована в Нідерландах і вже помічена платформою з розвідки загроз як шкідлива.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Динамічний аналіз
У віртуальному середовищі динамічно виконується цей шкідливий програмний продукт і аналізується процес, нижче наведено моніторинг процесу збору даних з локального комп'ютера та відправки даних на сервер.
Аналіз MistTrack
Ми використовували інструмент трекінгу MistTrack для аналізу хакерської адреси, наданої жертвою 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: хакерська адреса отримала прибуток понад 1 мільйон доларів США, включаючи USD0++, MORPHO та ETH; з них USD0++ та MORPHO були обміняні на 296 ETH.
Згідно з відомостями MistTrack, хакерська адреса отримала невелику кількість ETH з адреси 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, що підозрюється в тому, що вона забезпечує комісію для хакерської адреси. Ця адреса (0xb01c) має лише одне джерело доходу, але вивела невелику кількість ETH на близько 8,800 адрес, що, здається, є "платформою, що спеціально забезпечує комісії".
Фільтруємо адреси (0xb01c) у списку виведення, які позначені як шкідливі, пов’язані з двома фішинговими адресами, одна з яких позначена як Pink Drainer, розширений аналіз цих двох фішингових адрес, кошти в основному переміщуються до ChangeNOW та MEXC.
Далі ми проаналізували виведення вкрадених коштів, всього 296.45 ETH було переведено на нову адресу 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Перша транзакція нової адреси (0xdfe7) відбулася в липні 2023 року, вона охоплює кілька ланцюгів, наразі баланс становить 32.81 ETH.
Нові адреси (0xdfe7) основні шляхи виведення ETH наведені нижче:
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> обміняно на 15,720 USDT
14.39 ETH -> Gate.io
Вищезазначена адреса та подальші виведення пов'язані з кількома платформами, такими як Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, а також з кількома адресами, поміченими MistTrack як Angel Drainer та Theft. Окрім того, наразі 99.96 ETH залишилося на адресі 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.
Торгові сліди USDT нової адреси (0xdfe7) також дуже численні, їх було виведено на платформи Binance, MEXC, FixedFloat тощо.
Підсумок
Цей шлях фішингу полягає в тому, що хакер обманом представляє нормальне посилання на Zoom конференцію, спонукаючи користувача завантажити та виконати шкідливе програмне забезпечення. Шкідливе програмне забезпечення зазвичай має кілька небезпечних функцій, таких як збору інформації про систему, крадіжки даних браузера та отримання інформації про гаманці криптовалюти, відправляючи дані на сервер, контрольований хакером. Такі атаки зазвичай поєднують соціальну інженерію та техніки троянських атак, і користувач може легко потрапити в пастку. Команда безпеки SlowMist рекомендує користувачам обережно перевіряти посилання на конференції перед натисненням, уникати виконання програмного забезпечення та команд, джерело яких невідоме, встановлювати антивірусне програмне забезпечення та регулярно його оновлювати. Більше порад з безпеки можна знайти в посібнику (Посібник з самозахисту в темному лісі блокчейну), виданому командою SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
