Фірмою безпеки блокчейну SlowMist було виявлено фішингове шахрайство, націлене на користувачів криптовалюти, які використовували фальшиві посилання на зустрічі Zoom як метод розповсюдження шкідливого програмного забезпечення та крадіжки криптовалютних активів цільової мережі.
Хакери використовували складні методи для викрадення закритих ключів, даних гаманців та іншої конфіденційної інформації, що призвело до значних фінансових втрат для жертв. Зловмисники використовували фішинговий домен, який імітував законний домен Zoom, «app[.] us4zoom[.] us.», повідомляє SlowMist 27 грудня.
Джерело: SlowMist
Шахрайський сайт ілюстрував інтерфейс Zoom і обманом змусив користувачів натиснути кнопку «Запустити зустріч». Кнопка не відкривала програму Zoom; він почав завантажувати шкідливий інсталяційний пакет під назвою «ZoomApp_v.3. 14. dmg.” Після встановлення цей пакет запускав сценарій під назвою «ZoomApp.file», який просив користувачів ввести свій системний пароль.
⚠️Остерігайтеся фішингових атак, замаскованих під посилання на зустрічі Zoom!🎣 Хакери збирають дані користувачів і розшифровують їх, щоб викрасти конфіденційну інформацію, як-от мнемонічні фрази та закриті ключі. Ці атаки часто поєднують методи соціальної інженерії та троянів. Читайте наш повний аналіз⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 грудня 2024 р
Після аналізу SlowMist повідомив, що скрипт викликав прихований виконуваний файл для розгортання під назвою «.ZoomApp». Додаток намагався отримати доступ до таких даних, як системна інформація, файли cookie браузера, дані KeyChain і облікові дані гаманця криптовалюти. Потім стиснуті дані були передані на сервер під контролем хакерів, пов’язаний з IP-адресою 141.98.9.20, який був позначений як шкідливий кількома службами розвідки про загрози.
Можливо, вам також сподобається: Криптошахрайство з урізанням свиней знищило $3,6 млрд цього року: звіт
Зловмисне програмне забезпечення, ідентифіковане як троян, було піддано статичному та динамічному аналізу, який показав, що програмне забезпечення також здатне виконувати сценарії, які розшифровують дані, перераховують шляхи з ідентифікатора плагіна та витягують облікові дані, що зберігаються на пристрої жертви. Це включало збережені паролі, деталі гаманця криптовалюти та конфіденційні облікові дані Telegram, серед іншої інформації. Це дозволило зловмисникам отримати мнемонічні фрази гаманця та закриті ключі, що сприяло крадіжці великих сум криптовалюти.
Бекенд-система зловмисників, розташована в Нідерландах, відстежувала взаємодію користувачів через API Telegram з ознаками того, що вони використовували російськомовні скрипти. Фішингова кампанія почалася 14 листопада 2024 року, і вже була спроба викрасти мільйони доларів у криптовалюті від різних користувачів.
Шахрайство Zoom у мережі Ethereum
SlowMist відстежував перекази коштів у мережі за допомогою інструменту боротьби з відмиванням грошей MistTrack. Прибуток у розмірі понад $1 млн був серед адрес одного з хакерів, де конвертувалися криптовалюти USD0++ і MORPHO в 296 Ethereum (ETH). Викрадені гроші були переведені на ряд платформ, включаючи Binance, Gate.io, Bybit і MEXC. Ще одна адреса, яка використовувалася для здійснення невеликих переказів ETH на 8800 адрес, була включена для оплати комісії за транзакції.
Можливо, вам також сподобається: Шахраї заробили понад 500 тис. дол. США через 15+ X зловмисників
Аналіз блокчейну, що відстежує крадіжку Ethereum, ілюструє потік вкрадених коштів між гаманцями та платформами. Джерело: SlowMist
Пізніше цей викрадений ETH було зібрано на іншу адресу з переказом на кілька інших сайтів, зокрема на такі біржі, як FixedFloat і Binance, де він був конвертований у Tether (USDT) та інші криптовалюти.
Докладніше: Хакеру з США загрожує 20 років ув’язнення за крадіжку криптовалюти на 37 мільйонів доларів
