رابط اجتماع Zoom مزيف يتسبب في حدث سرقة كبيرة للأصول الرقمية
في الآونة الأخيرة، أبلغ عدد من المستخدمين عن أسلوب هجوم تصيد يُخفي نفسه كرابط اجتماع Zoom. تعرض أحد الضحايا لسرقة الأصول الرقمية بعد نقره على الرابط الضار وتثبيت البرنامج، حيث بلغت خسائره مليون دولار. في أعقاب هذا الحدث، بدأت فرق الأمان بتحليل معمق وتتبع تدفقات أموال القراصنة.
تحليل روابط الصيد
يستخدم القراصنة أسماء نطاق مشابهة لـ "app.us4zoom.us" لتقليد روابط اجتماعات Zoom العادية. الصفحة مشابهة جدًا لواجهة اجتماع Zoom الحقيقية، وعندما ينقر المستخدم على زر "بدء الاجتماع"، سيتم تحميل حزمة تثبيت ضارة بدلاً من بدء عميل Zoom المحلي.
من خلال استكشاف هذا النطاق، تم العثور على عنوان سجلات مراقبة القراصنة. بعد فك التشفير، تبين أن هذه هي سجلات من محاولة السكربت لإرسال رسائل عبر واجهة برمجة تطبيقات Telegram، واللغة المستخدمة هي الروسية. تم نشر هذا الموقع على الإنترنت منذ 27 يومًا، وقد يكون القراصنة روسيًا، وبدأوا في 14 نوفمبر في البحث عن أهداف لنشر البرامج الضارة، ثم عبر واجهة برمجة تطبيقات Telegram لمراقبة ما إذا كان الهدف قد نقر على زر تنزيل صفحة التصيد.
تحليل البرمجيات الخبيثة
اسم ملف الحزمة الخبيثة هو "ZoomApp_v.3.14.dmg". بعد الفتح، سيجذب المستخدم لتنفيذ البرنامج النصي الخبيث ZoomApp.file في Terminal، ويطلب إدخال كلمة مرور الجهاز.
بعد فك تشفير محتوى تنفيذ الملفات الضارة، تم اكتشاف أن هذا هو برنامج نصي ضار من نوع osascript. سيبحث هذا البرنامج النصي عن ملف تنفيذي مخفي يسمى " .ZoomApp " ويقوم بتشغيله. من خلال تحليل القرص للحقائب الأصلية، تم العثور بالفعل على هذا الملف التنفيذي المخفي.
تحليل السلوكيات الخبيثة
التحليل الثابت
قم بتحميل الملف الثنائي إلى منصة معلومات التهديدات للتحليل، وقد تم تصنيفه كملف خبيث. من خلال تحليل تفكيك التعليمات البرمجية الثابتة، تم اكتشاف أن كود الإدخال يستخدم لفك تشفير البيانات وتنفيذ البرامج النصية. تم تشفير وترميز معظم جزء البيانات.
بعد فك التشفير، تم اكتشاف أن هذا الملف الثنائي ينفذ في النهاية نص برمجي ضار من نوع osascript، والذي يقوم بجمع معلومات جهاز المستخدم وإرسالها إلى الخلفية. يقوم النص بسرد معلومات مسارات معرفات المكونات المختلفة، وقراءة معلومات KeyChain الخاصة بالكمبيوتر، وجمع معلومات النظام، وبيانات المتصفح، وبيانات محفظة التشفير، وبيانات Telegram، وبيانات ملاحظات Notes وبيانات الكوكيز.
سيتم ضغط المعلومات المجمعة وإرسالها إلى خادم يتم التحكم فيه بواسطة القراصنة. نظرًا لأن البرنامج الضار يحرض المستخدم على إدخال كلمة المرور أثناء التشغيل ويجمع بيانات KeyChain، قد يحصل القراصنة على كلمات مرور محفظة المستخدم، والمفاتيح الخاصة، ومعلومات حساسة أخرى، مما يؤدي إلى سرقة الأصول.
عنوان IP لخادم الهاكر يقع في هولندا، وقد تم وضع علامة عليه كخبيث من قبل منصة معلومات التهديدات.
التحليل الديناميكي
في بيئة افتراضية، تم تنفيذ هذا البرنامج الضار ديناميكيًا وتحليل العمليات، حيث لوحظ أن البرنامج الضار يجمع بيانات الجهاز المحلي ويرسل البيانات إلى معلومات مراقبة العمليات في الخلفية.
تحليل تدفق الأموال
تحليل عنوان القراصنة المقدم من الضحية يكشف أن القراصنة حققوا أرباحًا تتجاوز 1 مليون دولار أمريكي، بما في ذلك الأصول الرقمية USD0++ وMORPHO وETH. من بين ذلك، تم تحويل USD0++ وMORPHO إلى 296 ETH.
عنوان الهاكر تلقى تحويلات صغيرة من ETH، يُشتبه في أنها لتوفير رسوم المعاملات. عنوان مصدر الأموال نقل ETH صغيرة إلى ما يقرب من 8,800 عنوان، قد يكون "منصة مخصصة لتوفير الرسوم".
تم نقل 296.45 ETH من الأموال المسروقة إلى عنوان جديد. هذا العنوان مرتبط بعدة سلاسل، ويبلغ رصيده الحالي 32.81 ETH. تشمل المسارات الرئيسية لتحويل ETH التحويل إلى عدة عناوين، وتحويل جزء منه إلى USDT، بالإضافة إلى الإرسال إلى منصات مثل Gate.
تتعلق عمليات التحويل المستقبلية لهذه العناوين الموسعة بالعديد من منصات التداول مثل Bybit وCryptomus.com وSwapspace وGate وMEXC، كما أنها مرتبطة بالعديد من العناوين التي تم وضع علامة عليها كـ Angel Drainer وTheft. لا يزال جزء من ETH موجودًا في عنوان معين.
تظهر آثار تداول USDT أن الأموال تم تحويلها إلى منصات مثل Binance وMEXC وFixedFloat.
نصائح الأمان
تجمع هذه الأنواع من الهجمات بين تقنيات هجمات الهندسة الاجتماعية وهجمات البرمجيات الخبيثة، ويجب على المستخدمين توخي الحذر. يُنصح بالتحقق بدقة قبل النقر على رابط الاجتماع، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر، وتثبيت برامج مكافحة الفيروسات وتحديثها بانتظام. يمكن للمستخدمين الرجوع إلى الكتيبات الأمنية ذات الصلة لتعزيز وعيهم الأمني وقدراتهم في الحماية.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 8
أعجبني
8
4
مشاركة
تعليق
0/400
consensus_whisperer
· منذ 5 س
أوه! إنها نفس الحيلة القديمة مرة أخرى
شاهد النسخة الأصليةرد0
DegenRecoveryGroup
· منذ 5 س
ضريبة الذكاء، من الذي طلب منك النقر؟
شاهد النسخة الأصليةرد0
DefiSecurityGuard
· منذ 5 س
*sigh* يوم آخر، نقطة استغلال أخرى... هندسة اجتماعية كلاسيكية من خلال انتحال النطاق. ngmi إذا كنت لا تزال تقع في هذه الفخاخ
رابط زووم مزيف يؤدي إلى سرقة أصول رقمية بقيمة مليون دولار هاكر تكشف عن تدفق الأموال
رابط اجتماع Zoom مزيف يتسبب في حدث سرقة كبيرة للأصول الرقمية
في الآونة الأخيرة، أبلغ عدد من المستخدمين عن أسلوب هجوم تصيد يُخفي نفسه كرابط اجتماع Zoom. تعرض أحد الضحايا لسرقة الأصول الرقمية بعد نقره على الرابط الضار وتثبيت البرنامج، حيث بلغت خسائره مليون دولار. في أعقاب هذا الحدث، بدأت فرق الأمان بتحليل معمق وتتبع تدفقات أموال القراصنة.
تحليل روابط الصيد
يستخدم القراصنة أسماء نطاق مشابهة لـ "app.us4zoom.us" لتقليد روابط اجتماعات Zoom العادية. الصفحة مشابهة جدًا لواجهة اجتماع Zoom الحقيقية، وعندما ينقر المستخدم على زر "بدء الاجتماع"، سيتم تحميل حزمة تثبيت ضارة بدلاً من بدء عميل Zoom المحلي.
من خلال استكشاف هذا النطاق، تم العثور على عنوان سجلات مراقبة القراصنة. بعد فك التشفير، تبين أن هذه هي سجلات من محاولة السكربت لإرسال رسائل عبر واجهة برمجة تطبيقات Telegram، واللغة المستخدمة هي الروسية. تم نشر هذا الموقع على الإنترنت منذ 27 يومًا، وقد يكون القراصنة روسيًا، وبدأوا في 14 نوفمبر في البحث عن أهداف لنشر البرامج الضارة، ثم عبر واجهة برمجة تطبيقات Telegram لمراقبة ما إذا كان الهدف قد نقر على زر تنزيل صفحة التصيد.
تحليل البرمجيات الخبيثة
اسم ملف الحزمة الخبيثة هو "ZoomApp_v.3.14.dmg". بعد الفتح، سيجذب المستخدم لتنفيذ البرنامج النصي الخبيث ZoomApp.file في Terminal، ويطلب إدخال كلمة مرور الجهاز.
بعد فك تشفير محتوى تنفيذ الملفات الضارة، تم اكتشاف أن هذا هو برنامج نصي ضار من نوع osascript. سيبحث هذا البرنامج النصي عن ملف تنفيذي مخفي يسمى " .ZoomApp " ويقوم بتشغيله. من خلال تحليل القرص للحقائب الأصلية، تم العثور بالفعل على هذا الملف التنفيذي المخفي.
تحليل السلوكيات الخبيثة
التحليل الثابت
قم بتحميل الملف الثنائي إلى منصة معلومات التهديدات للتحليل، وقد تم تصنيفه كملف خبيث. من خلال تحليل تفكيك التعليمات البرمجية الثابتة، تم اكتشاف أن كود الإدخال يستخدم لفك تشفير البيانات وتنفيذ البرامج النصية. تم تشفير وترميز معظم جزء البيانات.
بعد فك التشفير، تم اكتشاف أن هذا الملف الثنائي ينفذ في النهاية نص برمجي ضار من نوع osascript، والذي يقوم بجمع معلومات جهاز المستخدم وإرسالها إلى الخلفية. يقوم النص بسرد معلومات مسارات معرفات المكونات المختلفة، وقراءة معلومات KeyChain الخاصة بالكمبيوتر، وجمع معلومات النظام، وبيانات المتصفح، وبيانات محفظة التشفير، وبيانات Telegram، وبيانات ملاحظات Notes وبيانات الكوكيز.
سيتم ضغط المعلومات المجمعة وإرسالها إلى خادم يتم التحكم فيه بواسطة القراصنة. نظرًا لأن البرنامج الضار يحرض المستخدم على إدخال كلمة المرور أثناء التشغيل ويجمع بيانات KeyChain، قد يحصل القراصنة على كلمات مرور محفظة المستخدم، والمفاتيح الخاصة، ومعلومات حساسة أخرى، مما يؤدي إلى سرقة الأصول.
عنوان IP لخادم الهاكر يقع في هولندا، وقد تم وضع علامة عليه كخبيث من قبل منصة معلومات التهديدات.
التحليل الديناميكي
في بيئة افتراضية، تم تنفيذ هذا البرنامج الضار ديناميكيًا وتحليل العمليات، حيث لوحظ أن البرنامج الضار يجمع بيانات الجهاز المحلي ويرسل البيانات إلى معلومات مراقبة العمليات في الخلفية.
تحليل تدفق الأموال
تحليل عنوان القراصنة المقدم من الضحية يكشف أن القراصنة حققوا أرباحًا تتجاوز 1 مليون دولار أمريكي، بما في ذلك الأصول الرقمية USD0++ وMORPHO وETH. من بين ذلك، تم تحويل USD0++ وMORPHO إلى 296 ETH.
عنوان الهاكر تلقى تحويلات صغيرة من ETH، يُشتبه في أنها لتوفير رسوم المعاملات. عنوان مصدر الأموال نقل ETH صغيرة إلى ما يقرب من 8,800 عنوان، قد يكون "منصة مخصصة لتوفير الرسوم".
تم نقل 296.45 ETH من الأموال المسروقة إلى عنوان جديد. هذا العنوان مرتبط بعدة سلاسل، ويبلغ رصيده الحالي 32.81 ETH. تشمل المسارات الرئيسية لتحويل ETH التحويل إلى عدة عناوين، وتحويل جزء منه إلى USDT، بالإضافة إلى الإرسال إلى منصات مثل Gate.
تتعلق عمليات التحويل المستقبلية لهذه العناوين الموسعة بالعديد من منصات التداول مثل Bybit وCryptomus.com وSwapspace وGate وMEXC، كما أنها مرتبطة بالعديد من العناوين التي تم وضع علامة عليها كـ Angel Drainer وTheft. لا يزال جزء من ETH موجودًا في عنوان معين.
تظهر آثار تداول USDT أن الأموال تم تحويلها إلى منصات مثل Binance وMEXC وFixedFloat.
نصائح الأمان
تجمع هذه الأنواع من الهجمات بين تقنيات هجمات الهندسة الاجتماعية وهجمات البرمجيات الخبيثة، ويجب على المستخدمين توخي الحذر. يُنصح بالتحقق بدقة قبل النقر على رابط الاجتماع، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر، وتثبيت برامج مكافحة الفيروسات وتحديثها بانتظام. يمكن للمستخدمين الرجوع إلى الكتيبات الأمنية ذات الصلة لتعزيز وعيهم الأمني وقدراتهم في الحماية.