區塊鏈安全公司 SlowMist 發現了一個針對加密貨幣用戶的網路釣魚騙局,該騙局使用虛假的 Zoom 會議連結作爲惡意軟體分發的方法並竊取目標的加密貨幣資產。
駭客一直在使用複雜的技術來竊取私鑰、錢包資料和其他敏感訊息,這給受害者帶來了巨大的經濟損失。根據 SlowMist 12 月 27 日報,攻擊者使用了模仿合法 Zoom 網域的網路釣魚網域「app[.] us4zoom[.] us.」。
來源:SlowMist
該詐騙網站展示了 Zoom 的界面,並誘騙用戶點擊“啓動會議”按鈕。該按鈕並沒有打開 Zoom 應用程序,而是開始下載一個名爲“ZoomApp_v.3. 14. dmg”的惡意安裝包。安裝後,該包會運行一個名爲“ZoomApp.file”的腳本,要求用戶輸入系統密碼。
⚠️警惕僞裝成 Zoom 會議鏈接的網絡釣魚攻擊!🎣黑客收集用戶數據並解密以竊取敏感信息,如助記詞和私鑰。這些攻擊通常結合了社會工程學和木馬技術。閱讀我們的完整分析⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 2024 年 12 月 27 日
經過分析,SlowMist 報告稱,該腳本調用了一個名爲“.ZoomApp”的隱藏可執行文件進行部署。該應用程序試圖訪問系統信息、瀏覽器 cookie、KeyChain 數據和加密貨幣錢包憑證等數據。壓縮數據隨後被傳輸到黑客控制的服務器,該服務器與 IP 地址 141.98.9.20 相關聯,該地址已被多個威脅情報服務標記爲惡意。
你可能還喜歡:報告稱,今年豬屠宰加密貨幣騙局損失 36 億美元
該惡意軟件被識別爲木馬,隨後對其進行了靜態分析和動態分析,結果表明該軟件還能夠執行解密數據的腳本、從插件 ID 枚舉路徑以及提取存儲在受害者設備上的憑據。這包括存儲的密碼、加密貨幣錢包詳細信息和敏感的 Telegram 憑據等信息。這使攻擊者能夠獲得錢包助記詞和私鑰,從而幫助竊取大量加密貨幣。
攻擊者的後端系統位於荷蘭,通過 Telegram API 跟蹤用戶交互,有跡象表明他們使用了俄語腳本。網絡釣魚活動於 2024 年 11 月 14 日上線,並已試圖從各個用戶那裏竊取數百萬美元的加密貨幣。
以太坊鏈上的 Zoom 騙局
SlowMist 使用反洗錢工具 MistTrack 跟蹤了資金的鏈上轉移。其中一名黑客的地址中獲利超過 100 萬美元,加密貨幣 USD0++ 和 MORPHO 被兌換成 296 個以太坊 (ETH)。被盜資金被轉移到一系列平臺,包括 Binance、Gate.io、Bybit 和 MEXC。另一個地址用於向總共 8,800 個地址進行小額 ETH 轉賬,用於支付交易費用。
你可能還喜歡:詐騙者通過 15 次以上違規行爲獲利超過 50 萬美元
區塊鏈分析追蹤以太坊盜竊活動,顯示被盜資金在錢包和平臺之間的流動情況。資料來源:SlowMist
這些被盜的 ETH 隨後被彙總到另一個地址,並轉移到其他幾個網站,包括 FixedFloat 和 Binance 等交易所,在那裏它被轉換成 Tether (USDT) 和其他加密貨幣。
閱讀更多:美國黑客因盜竊 3700 萬美元加密貨幣面臨 20 年監禁
