Оригінальна назва: (Очі не бачать, але серце відчуває | Аналіз фішингу на підроблених конференціях Zoom)
Оригінальне джерело: SlowMist Technology
Фон
Нещодавно кілька користувачів на X повідомили про фішинг-атаку, що маскується під посилання Zoom, один з жертв, натиснувши на шкідливе посилання Zoom, встановив шкідливе ПЗ, що призвело до крадіжки криптоактивів на мільйон доларів. У цьому контексті команда безпеки SlowMist провела аналіз таких фішингових інцидентів та методів атак та відстежила рух коштів хакерів.
(https://x.com/lsp8940/status/1871350801270296709)
Аналіз фішингових посилань
Хакери використовують домен у вигляді «app[.]us4zoom[.]us», маскуючи його під нормальне посилання Zoom, сторінка дуже схожа на справжню конференцію Zoom, коли користувач натискає кнопку «Запустити конференцію», це викликає завантаження шкідливого інсталяційного пакету, а не запуск локального клієнта Zoom.
Через аналіз зазначених доменів ми виявили адресу журналу моніторингу хакера (https[:]//app[.]us4zoom[.]us/error_log).
Декодування показало, що це записи журналу спроби скрипта надіслати повідомлення через API Telegram, використовувалася російська мова.
Цей сайт був запущений 27 днів тому, хакер, можливо, росіянин, і з 14 листопада почав шукати цілі для фішингу, а потім через API Telegram контролював, чи натискають цілі кнопку завантаження фішингової сторінки.
Аналіз шкідливого ПЗ
Цей шкідливий інсталяційний пакет має назву «ZoomApp_v.3.14.dmg», нижче наведено інтерфейс цього фішингового програмного забезпечення Zoom, що спонукає користувачів виконати шкідливий скрипт ZoomApp.file у Terminal, а процес виконання також спонукає користувачів ввести пароль локального комп'ютера.
Ось вміст виконання цього шкідливого файлу:
Декодування вищезгаданого контенту виявило, що це шкідливий скрипт osascript.
Продовжуючи аналіз, виявилося, що цей скрипт шукає прихований виконуваний файл з назвою «.ZoomApp» і виконує його локально. Ми провели аналіз диска оригінального інсталяційного пакету «ZoomApp_v.3.14.dmg» і виявили, що пакет дійсно приховує виконуваний файл з назвою «.ZoomApp».
Аналіз шкідливої поведінки
Статичний аналіз
Ми завантажили цей двійковий файл для аналізу на платформу розвідки загроз і виявили, що цей файл вже був позначений як шкідливий.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
За допомогою статичного дизасемблювання нижче наведено вхідний код цього двійкового файлу, призначений для декодування даних та виконання скриптів.
Нижче наведено частину даних, можна виявити, що більшість інформації була зашифрована та закодована.
Після декодування даних виявилося, що цей двійковий файл також виконує шкідливий скрипт osascript (повний код декодування вже поділено: https://pastebin.com/qRYQ44xa), цей скрипт збирає інформацію з пристрою користувача та відправляє її на бекенд.
Нижче наведено частину коду, що перераховує інформацію про різні ID плагінів.
Нижче наведено частину коду для читання інформації з KeyChain комп'ютера.
Шкідливий код, зібравши системну інформацію, дані браузера, дані криптогаманців, дані Telegram, дані нотаток та дані Cookie, стискає їх та відправляє на сервер, контрольований хакерами (141.98.9.20).
Оскільки шкідлива програма спонукає користувачів вводити паролі під час роботи, а подальші шкідливі сценарії також збирають дані KeyChain комп'ютера (які можуть містити різні паролі, збережені на комп'ютері), хакери після збору спробують розшифрувати дані, отримати мнемонічну фразу гаманця користувача, приватні ключі та іншу чутливу інформацію, щоб вкрасти активи користувача.
За аналізом, IP-адреса сервера хакерів знаходиться в Нідерландах і наразі позначена на платформі розвідки загроз як шкідлива.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Динамічний аналіз
У віртуальному середовищі було динамічно виконано цю шкідливу програму та проаналізовано процес, нижче наведено інформацію про моніторинг процесу збору даних з локального комп'ютера та передачі даних на бекенд.
Аналіз MistTrack
Ми використовували інструмент трекінгу MistTrack для аналізу наданої жертвою адреси хакера 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: адреса хакера отримала прибуток понад 1 мільйон доларів, включаючи USD0++, MORPHO та ETH; з них USD0++ та MORPHO були обміняні на 296 ETH.
За даними MistTrack, адреса хакера раніше отримувала невелику кількість ETH з адреси 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, ймовірно, для покриття витрат. Ця адреса (0xb01c) отримує доходи лише з однієї адреси, але переводить невелику кількість ETH на майже 8800 адрес, що, здається, є «платформою для покриття витрат».
Фільтруючи адреси в об'єкті виведення (0xb01c), які позначені як шкідливі, пов'язані з двома фішинговими адресами, одна з яких позначена як Pink Drainer, розширений аналіз цих двох фішингових адрес показав, що кошти в основному переводяться на ChangeNOW та MEXC.
Далі було проаналізовано ситуацію з виведенням вкрадених коштів, всього 296.45 ETH було переведено на нову адресу 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Перша транзакція нової адреси (0xdfe7) відбулася в липні 2023 року, вона проходила через кілька ланцюгів, наразі баланс складає 32.81 ETH.
Основний шлях виведення ETH з нової адреси (0xdfe7) виглядає так:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> обмін на 15,720 USDT
· 14.39 ETH -> Gate.io
Вищезгадана адреса розширення має подальші виведення, пов'язані з кількома платформами, такими як Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, а також з кількома адресами, які були позначені MistTrack як Angel Drainer та Theft. Крім того, наразі на адресі 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 залишилося 99.96 ETH.
Торгові сліди USDT нової адреси (0xdfe7) також дуже численні, їх було переведено на такі платформи, як Binance, MEXC, FixedFloat тощо.
Висновок
Представлений шлях фішингу — це хакер, який маскується під нормальне посилання Zoom, спонукаючи користувачів завантажити та виконати шкідливе ПЗ. Шкідливе ПЗ зазвичай має багато небезпечних функцій, таких як збір системної інформації, крадіжка даних браузера та отримання інформації про криптовалютні гаманці, а також передає дані на сервер, контрольований хакерами. Цей тип атак зазвичай поєднує соціальну інженерію та технології троянів, і користувачі можуть легко потрапити в пастку. Команда безпеки SlowMist рекомендує користувачам уважно перевіряти посилання на конференції перед натисканням, уникати виконання невідомого програмного забезпечення та команд, встановлювати антивірусне ПЗ та регулярно оновлювати його. Для отримання додаткових знань з безпеки рекомендується прочитати (Посібник з самозахисту в темному лісі блокчейну), підготовлений командою SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
