新型黑客攻擊出現——加密貨幣用戶警告警惕僞裝成 Zoom 會議鏈接的網絡釣魚攻擊

SlowMist 注意到一種針對加密貨幣用戶的新型網絡釣魚詐騙。該騙局僞裝成虛假的 Zoom 會議，以傳播竊取敏感數據的惡意軟件。它涉及僞造的 Zoom 鏈接，誘騙受害者下載旨在竊取加密貨幣資產的惡意文件。

據區塊鏈安全平臺 SlowMist 稱，此次騙局背後的攻擊者使用了一種複雜的網絡釣魚技術，涉及一個模仿合法 Zoom 域名的域名。釣魚網站“app[.]us4zoom[.]us”看起來與真正的 Zoom 網站界面非常相似。

⚠️警惕僞裝成 Zoom 會議鏈接的網絡釣魚攻擊！🎣黑客收集用戶數據並解密以竊取敏感信息，如助記詞和私鑰。這些攻擊通常結合了社會工程學和木馬技術。閱讀我們的完整分析⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 2024 年 12 月 27 日

受害者被提示點擊“啓動會議”按鈕，他們希望該按鈕能將他們帶到 Zoom 會議。然而，該按鈕並沒有打開 Zoom 應用程序，而是啓動了名爲“ZoomApp_v.3.14.dmg”的惡意文件的下載。

發現惡意軟件執行和數據盜竊陰謀

下載後，惡意文件會觸發一個腳本，請求用戶的系統密碼。該腳本執行一個名爲“.ZoomApp”的隱藏可執行文件，旨在訪問和收集敏感系統信息，包括瀏覽器 cookie、KeyChain 數據和加密貨幣錢包憑證。

據安全專家稱，該惡意軟件專門針對加密貨幣用戶，目的是竊取私鑰和其他重要的錢包數據。下載的軟件包一旦安裝，就會運行一個名爲“ZoomApp.file”的腳本。

執行後，腳本會提示用戶輸入系統密碼，在不知情的情況下讓黑客訪問敏感數據。

通過 Zoom 鏈接進行加密黑客攻擊 – 來源：SlowMist

在解密數據後，SlowMist 發現該腳本最終執行了一個 osascript，將收集到的信息傳輸到攻擊者的後端系統。

SlowMist 還追溯到該釣魚網站的創建時間是 27 天前，懷疑有俄羅斯黑客參與。這些黑客一直在使用 Telegram 的 API 來監視釣魚網站上的活動，追蹤是否有人點擊了下載鏈接。根據這家安全公司的分析，黑客早在 11 月 14 日就開始瞄準受害者。

被盜資金已在多家交易所轉移

SlowMist 使用鏈上追蹤工具 MistTrack 調查被盜資金的動向。黑客的地址爲 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac，據報道，該地址獲利超過 100 萬美元，包括 USD0++、MORPHO 和 ETH 等加密貨幣。

MistTrack 詳細分析發現，黑客地址已將 USD0++ 與 MORPHO 兌換爲 296 ETH。

MistTrack 追蹤被盜加密貨幣的動向。來源：MistTrack

進一步調查顯示，黑客的地址從另一個地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 收到了小額 ETH 轉賬，該地址似乎負責爲黑客的計劃提供交易費用。

該地址被發現向近 8,800 個其他地址轉移了少量 ETH，這表明它可能是專門爲非法活動提供交易費用資金的更大平臺的一部分。

與 Zoom 鏈接騙局相關的地址之間的 ETH 轉移 – 來源：SlowMist

被盜資金一旦到賬，就會通過各種平臺進行轉移。幣安、Gate.io、Bybit 和 MEXC 等交易所接收了被盜加密貨幣。隨後，這些資金被整合到一個不同的地址，交易流入多家交易所，包括 FixedFloat 和幣安。在那裏，被盜資金被兌換成 Tether (USDT) 和其他加密貨幣。

該計劃背後的犯罪分子通過使用複雜的方法洗錢並將其非法收益轉換爲廣泛使用的加密貨幣，成功逃避直接追捕。 SlowMist 警告加密貨幣愛好者，該釣魚網站和相關地址可能會繼續針對毫無戒心的加密貨幣用戶。

從零到 Web3 Pro：你的 90 天職業啓動計劃