Джерело передруку статті: Slow Mist Technology
Автор |Reborn, Ліза
Редактор |Ліз
тло
Останнім часом багато користувачів на У цьому контексті команда безпеки SlowMist аналізує такі випадки фішингу та методи атак, а також відстежує потік коштів хакера.
(https://x.com/lsp8940/status/1871350801270296709)
Аналіз фішингових посилань
Хакери використовують доменні імена у формі «app[.]us4zoom[.]us», щоб замаскувати себе під звичайні посилання на Zoom. Коли користувач натискає кнопку «Почати зустріч», це ініціює завантаження шкідливого інсталяційного пакета, що не запускається, локальний клієнт Zoom.
Виявивши вказане вище доменне ім’я, ми знайшли адресу журналу моніторингу хакера (https[:]//app[.]us4zoom[.]us/error_log).
Розшифровка показала, що це запис журналу зі скрипту, який намагається надіслати повідомлення через API Telegram російською мовою.
Сайт був розгорнутий і запущений 27 днів тому, можливо, хакери шукали цілі з 14 листопада, а потім відстежували через API Telegram, чи натискає якась ціль на кнопку завантаження фішингової сторінки.
Аналіз шкідливих програм
Ім’я файлу інсталяційного пакета зловмисників – «ZoomApp_v.3.14.dmg». Нижче наведено інтерфейс, відкритий фішинговим програмним забезпеченням Zoom, який спонукає користувача виконати шкідливий сценарій ZoomApp.file у терміналі та під час виконання процесу. , користувачеві також пропонується ввести локальний пароль.
Нижче наведено вміст виконання шкідливого файлу:
Розшифровка вищезазначеного вмісту виявила, що це був шкідливий сценарій osascript.
Постійний аналіз показав, що сценарій шукає прихований виконуваний файл під назвою ".ZoomApp" і запускає його локально. Ми провели аналіз диска оригінального інсталяційного пакета "ZoomApp_v.3.14.dmg" і виявили, що інсталяційний пакет справді приховує виконуваний файл під назвою ".ZoomApp".
Аналіз шкідливої поведінки
статичний аналіз
Ми завантажили двійковий файл на платформу аналізу загроз для аналізу та виявили, що файл було позначено як шкідливий.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
За допомогою статичного аналізу розбирання на наступному малюнку показано код входу двійкового файлу, який використовується для розшифровки даних і виконання сценарію.
На зображенні нижче показано дані. Ви можете бачити, що більшість інформації зашифровано та закодовано.
Після розшифровки даних виявилося, що двійковий файл також виконує шкідливий сценарій osascript (повний код розшифровки надано на сторінці: https://pastebin.com/qRYQ44xa). Цей сценарій збиратиме інформацію на пристрої користувача та відправити його на задній план.
Наступний малюнок є частиною коду, який перераховує інформацію про шляхи різних ідентифікаторів модулів.
Малюнок нижче є частиною коду для читання інформації комп’ютерного KeyChain.
Після того як зловмисний код збирає системну інформацію, дані браузера, дані зашифрованого гаманця, дані Telegram, дані нотаток Notes і дані файлів cookie, він стискає та надсилає їх на сервер, який контролює хакер (141.98.9.20).
Оскільки шкідлива програма спонукає користувача ввести пароль під час її роботи, а подальший шкідливий сценарій також збиратиме дані KeyChain на комп’ютері (які можуть включати різні паролі, збережені користувачем на комп’ютері), хакер намагатиметься розшифрувати дані після їх збору та отримати мнемонічні слова користувача Wallet, особисті ключі та іншу конфіденційну інформацію, тим самим викравши активи користувачів.
Згідно з аналізом, IP-адреса сервера хакера розташована в Нідерландах і була позначена платформою аналізу загроз як шкідлива.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
динамічний аналіз
Шкідлива програма динамічно виконується у віртуальному середовищі, і процес аналізується.
Аналіз MistTrack
Ми використовували інструмент відстеження в ланцюжку MistTrack, щоб проаналізувати адресу хакера 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, надану жертвою: адреса хакера принесла більше 1 мільйона доларів США прибутку, включаючи USD0++, MORPHO та ETH; серед них USD0++ та MORPHO були обміняні на 296 ETH.
За даними MistTrack, хакерська адреса отримала невелику кількість ETH, передану з адреси 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, яка, ймовірно, забезпечує комісію за обробку адреси хакера. Джерелом доходу для цієї адреси (0xb01c) є лише одна адреса, але вона передає невеликі суми ETH на майже 8800 адрес. Здається, це «платформа, що спеціалізується на наданні плати за обробку».
Адреса (0xb01c) була перевірена на наявність адрес, позначених як шкідливі в об’єкті передачі, і була пов’язана з двома фішинговими адресами, одна з яких була позначена як Pink Drainer. Після ретельного аналізу цих двох фішингових адрес кошти були фактично переведені на ChangeNOW і MEXC.
Потім, аналізуючи переказ вкрадених коштів, загалом 296,45 ETH було переведено на нову адресу 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Перша транзакція нової адреси (0xdfe7) була здійснена в липні 2023 року, залучаючи кілька ланцюжків, а поточний баланс становить 32,81 ETH.
Основний шлях передачі ETH нової адреси (0xdfe7) такий:
200,79 ETH -> 0x19e0…5c98f
63,03 ETH -> 0x41a2…9c0b
8,44 ETH -> конвертовано в 15 720 USDT
14,39 ETH -> Gate.io
Подальші передачі вищезазначених розширених адрес пов’язані з кількома платформами, такими як Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, і пов’язані з кількома адресами, позначеними MistTrack як Angel Drainer і Theft. Окрім цього, зараз за адресою 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 застрягло 99,96 ETH.
Також є багато слідів транзакцій USDT за новою адресою (0xdfe7), які були перенесені на Binance, MEXC, FixedFloat та інші платформи.
Підведіть підсумки
Цей метод фішингу полягає в тому, що хакери маскуються під звичайні посилання на зустрічі Zoom, щоб спонукати користувачів завантажувати та запускати зловмисне програмне забезпечення. Зловмисне програмне забезпечення зазвичай має кілька шкідливих функцій, таких як збір системної інформації, викрадення даних браузера та отримання інформації про гаманець криптовалюти, а також передає дані на сервери, контрольовані хакерами. Цей тип атак зазвичай поєднує атаки соціальної інженерії та методи атак троянських коней, і користувачі стають їхніми жертвами, якщо не будуть обережні. Команда безпеки SlowMist рекомендує користувачам ретельно перевірятися, перш ніж натискати посилання на зустрічі, уникати виконання програмного забезпечення та команд із невідомих джерел, установлювати антивірусне програмне забезпечення та регулярно оновлювати його. Щоб дізнатися більше про безпеку, рекомендуємо прочитати (Посібник із саморятування в темному лісі блокчейну), створений командою безпеки Slow Mist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/ main/README_CN.md .
