原文標題:(眼見不爲實|假 Zoom 會議釣魚分析)
原文來源:慢霧科技
背景
近期,X 上多位用戶報告了一種僞裝成 Zoom 會議鏈接的釣魚攻擊手法,其中一受害者在點擊惡意 Zoom 會議鏈接後安裝了惡意軟件,導致加密資產被盜,損失規模達百萬美元。在此背景下,慢霧安全團隊對這類釣魚事件和攻擊手法展開分析,並追蹤黑客的資金流向。
(https://x.com/lsp8940/status/1871350801270296709)
釣魚鏈接分析
黑客使用形如「app[.]us4zoom[.]us」的域名僞裝成正常 Zoom 會議鏈接,頁面與真 Zoom 會議高度相似,當用戶點擊「啓動會議」按鈕,便會觸發下載惡意安裝包,而非啓動本地 Zoom 客戶端。
通過對上述域名探測,我們發現了黑客的監控日誌地址 (https[:]//app[.]us4zoom[.]us/error_log)。
解密發現,這是腳本嘗試通過 Telegram API 發送消息時的日誌條目,使用的語言爲俄語。
該站點 27 天前已部署上線,黑客可能是俄羅斯人,並且從 11 月 14 號便開始尋找目標投馬,然後通過 Telegram API 監控是否有目標點擊釣魚頁面的下載按鈕。
惡意軟件分析
該惡意安裝包文件名爲「ZoomApp_v.3.14.dmg」,以下是該 Zoom 釣魚軟件打開的界面,誘導用戶在 Terminal 中執行 ZoomApp.file 惡意腳本,並且執行過程中還會誘導用戶輸入本機密碼。
下面是該惡意文件的執行內容:
對上述內容解碼後發現這是一個惡意的 osascript 腳本。
繼續分析發現,該腳本查找一個名爲「.ZoomApp」的隱藏的可執行文件並在本地運行。我們對原始安裝包「ZoomApp_v.3.14.dmg」進行磁盤分析,發現安裝包確實隱藏了一個名爲「.ZoomApp」的可執行文件。
惡意行爲分析
靜態分析
我們將該二進制文件上傳到威脅情報平臺分析,發現該文件已經被標記爲惡意文件。
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
通過靜態反彙編分析,下圖爲該二進制文件的入口代碼,用於數據解密和腳本執行。
下圖是數據部分,可以發現大部分信息都經過了加密和編碼。
通過對數據解密後發現該二進制文件最終同樣執行惡意的 osascript 腳本(完整解密代碼已分享到:https://pastebin.com/qRYQ44xa),該腳本會收集用戶設備上的信息併發送到後臺。
下圖是枚舉不同插件 ID 路徑信息的部分代碼。
下圖是讀取電腦 KeyChain 信息的部分代碼。
惡意代碼採集完系統信息、瀏覽器數據、加密錢包數據、Telegram 數據、Notes 筆記數據和 Cookie 數據等信息後,會將它們壓縮併發送至黑客控制的服務器 (141.98.9.20)。
由於惡意程序在運行時就誘導用戶輸入密碼,並且後續的惡意腳本也會採集電腦中 KeyChain 數據(可能包含用戶保存在電腦上的各種密碼),黑客收集後就會嘗試解密數據,獲得用戶的錢包助記詞、私鑰等敏感信息,從而盜取用戶的資產。
據分析,黑客服務器的 IP 地址位於荷蘭,目前已被威脅情報平臺標記爲惡意。
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
動態分析
在虛擬環境下動態執行該惡意程序並分析進程,下圖爲惡意程序採集本機數據進程和發送數據到後臺的進程監控信息。
MistTrack 分析
我們使用鏈上追蹤工具 MistTrack 分析受害者提供的黑客地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac:黑客地址獲利超 100 萬美金,包括 USD0++、MORPHO 和 ETH;其中,USD0++ 和 MORPHO 被兌換爲 296 ETH。
據 MistTrack 顯示,黑客地址曾收到來自地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉入的小額 ETH,疑似爲黑客地址提供手續費。該地址(0xb01c)的收入來源只有一個地址,卻轉出小額 ETH 到近 8,800 個地址,似乎是一個「專門提供手續費的平臺」。
篩選該地址(0xb01c)轉出對象中被標記爲惡意的地址,關聯到兩個釣魚地址,其中一個被標記爲 Pink Drainer,擴展分析這兩個釣魚地址,資金基本轉移到 ChangeNOW 和 MEXC。
接着分析被盜資金的轉出情況,共有 296.45 ETH 被轉移到新地址 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。
新地址(0xdfe7)的首筆交易時間爲 2023 年 7 月,涉及多條鏈,目前餘額爲 32.81 ETH。
新地址(0xdfe7)主要的 ETH 轉出路徑如下:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> 兌換爲 15,720 USDT
· 14.39 ETH -> Gate.io
以上擴展地址後續的轉出與多個平臺如 Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關聯,且與被 MistTrack 標記爲 Angel Drainer 和 Theft 的多個地址相關。除此之外,目前有 99.96 ETH 停留在地址 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。
新地址(0xdfe7)的 USDT 交易痕跡也非常多,被轉出到 Binance, MEXC, FixedFloat 等平臺。
總結
本次分享的釣魚途徑是黑客通過僞裝成正常 Zoom 會議鏈接,誘導用戶下載並執行惡意軟件。惡意軟件通常具備收集系統信息、竊取瀏覽器數據和獲取加密貨幣錢包信息等多重危害功能,並將數據傳輸至黑客控制的服務器。這類攻擊通常結合了社會工程學攻擊和木馬攻擊技術,用戶稍有不慎便會中招。慢霧安全團隊建議用戶在點擊會議鏈接前謹慎驗證,避免執行來源不明的軟件和命令,安裝殺毒軟件並定期更新。更多的安全知識建議閱讀慢霧安全團隊出品的(區塊鏈黑暗森林自救手冊):https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。
