新型黑客攻击出现——加密货币用户警告警惕伪装成 Zoom 会议链接的网络钓鱼攻击

SlowMist 注意到一种针对加密货币用户的新型网络钓鱼诈骗。该骗局伪装成虚假的 Zoom 会议，以传播窃取敏感数据的恶意软件。它涉及伪造的 Zoom 链接，诱骗受害者下载旨在窃取加密货币资产的恶意文件。

据区块链安全平台 SlowMist 称，此次骗局背后的攻击者使用了一种复杂的网络钓鱼技术，涉及一个模仿合法 Zoom 域名的域名。钓鱼网站“app[.]us4zoom[.]us”看起来与真正的 Zoom 网站界面非常相似。

⚠️警惕伪装成 Zoom 会议链接的网络钓鱼攻击！🎣黑客收集用户数据并解密以窃取敏感信息，如助记词和私钥。这些攻击通常结合了社会工程学和木马技术。阅读我们的完整分析⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 2024 年 12 月 27 日

受害者被提示点击“启动会议”按钮，他们希望该按钮能将他们带到 Zoom 会议。然而，该按钮并没有打开 Zoom 应用程序，而是启动了名为“ZoomApp_v.3.14.dmg”的恶意文件的下载。

发现恶意软件执行和数据盗窃阴谋

下载后，恶意文件会触发一个脚本，请求用户的系统密码。该脚本执行一个名为“.ZoomApp”的隐藏可执行文件，旨在访问和收集敏感系统信息，包括浏览器 cookie、KeyChain 数据和加密货币钱包凭证。

据安全专家称，该恶意软件专门针对加密货币用户，目的是窃取私钥和其他重要的钱包数据。下载的软件包一旦安装，就会运行一个名为“ZoomApp.file”的脚本。

执行后，脚本会提示用户输入系统密码，在不知情的情况下让黑客访问敏感数据。

通过 Zoom 链接进行加密黑客攻击 – 来源：SlowMist

在解密数据后，SlowMist 发现该脚本最终执行了一个 osascript，将收集到的信息传输到攻击者的后端系统。

SlowMist 还追溯到该钓鱼网站的创建时间是 27 天前，怀疑有俄罗斯黑客参与。这些黑客一直在使用 Telegram 的 API 来监视钓鱼网站上的活动，追踪是否有人点击了下载链接。根据这家安全公司的分析，黑客早在 11 月 14 日就开始瞄准受害者。

被盗资金已在多家交易所转移

SlowMist 使用链上追踪工具 MistTrack 调查被盗资金的动向。黑客的地址为 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac，据报道，该地址获利超过 100 万美元，包括 USD0++、MORPHO 和 ETH 等加密货币。

MistTrack 详细分析发现，黑客地址已将 USD0++ 与 MORPHO 兑换为 296 ETH。

MistTrack 追踪被盗加密货币的动向。来源：MistTrack

进一步调查显示，黑客的地址从另一个地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 收到了小额 ETH 转账，该地址似乎负责为黑客的计划提供交易费用。

该地址被发现向近 8,800 个其他地址转移了少量 ETH，这表明它可能是专门为非法活动提供交易费用资金的更大平台的一部分。

与 Zoom 链接骗局相关的地址之间的 ETH 转移 – 来源：SlowMist

被盗资金一旦到账，就会通过各种平台进行转移。币安、Gate.io、Bybit 和 MEXC 等交易所接收了被盗加密货币。随后，这些资金被整合到一个不同的地址，交易流入多家交易所，包括 FixedFloat 和币安。在那里，被盗资金被兑换成 Tether (USDT) 和其他加密货币。

该计划背后的犯罪分子通过使用复杂的方法洗钱并将其非法收益转换为广泛使用的加密货币，成功逃避直接追捕。 SlowMist 警告加密货币爱好者，该钓鱼网站和相关地址可能会继续针对毫无戒心的加密货币用户。

从零到 Web3 Pro：你的 90 天职业启动计划