Une fausse réunion Zoom a déclenché un vol massif de cryptoactifs.
Récemment, plusieurs utilisateurs ont signalé une technique de phishing se faisant passer pour un lien de réunion Zoom. Une victime a perdu des actifs cryptoactifs d'une valeur allant jusqu'à un million de dollars après avoir cliqué sur un lien malveillant et installé un logiciel. Suite à cet incident, l'équipe de sécurité a mené une analyse approfondie et a suivi le flux de fonds des hackers.
Analyse des liens de phishing
Des hackers utilisent des noms de domaine similaires à "app.us4zoom.us" pour se faire passer pour des liens de réunion Zoom normaux. La page ressemble fortement à l'interface réelle d'une réunion Zoom, et lorsque l'utilisateur clique sur le bouton "Démarrer la réunion", cela déclenche le téléchargement d'un paquet malveillant, au lieu de lancer le client Zoom local.
En inspectant ce nom de domaine, nous avons découvert l'adresse des journaux de surveillance des hackers. Après déchiffrement, il s'est avéré que c'est un enregistrement des tentatives de script pour envoyer des messages via l'API Telegram, en russe. Ce site est en ligne depuis 27 jours, les hackers pourraient être russes et ont commencé à cibler pour déployer des logiciels malveillants depuis le 14 novembre, puis à surveiller via l'API Telegram si la cible clique sur le bouton de téléchargement de la page de phishing.
Analyse des logiciels malveillants
Le nom du fichier du package d'installation malveillant est "ZoomApp_v.3.14.dmg". Lorsqu'on l'ouvre, il incite l'utilisateur à exécuter le script malveillant ZoomApp.file dans Terminal et demande de saisir le mot de passe de la machine.
Après avoir décodé le contenu d'exécution du fichier malveillant, il a été découvert qu'il s'agissait d'un script osascript malveillant. Ce script recherche et exécute un fichier exécutable caché nommé ".ZoomApp". Une analyse du disque du paquet d'installation original a effectivement révélé ce fichier exécutable caché.
Analyse des comportements malveillants
analyse statique
Téléchargez le fichier binaire sur la plateforme d'intelligence des menaces pour analyse, il a été marqué comme fichier malveillant. Par l'analyse statique des désassemblages, nous avons découvert que le code d'entrée est utilisé pour le déchiffrement des données et l'exécution de scripts. La plupart des parties de données sont encryptées et codées.
Après déchiffrement, il a été découvert que ce fichier binaire exécutait finalement un script osascript malveillant, qui collecte des informations sur l'appareil de l'utilisateur et les envoie en arrière-plan. Le script énumère différentes informations de chemin d'ID de plugin, lit les informations du KeyChain de l'ordinateur, collecte des informations système, des données de navigateur, des données de portefeuille de chiffrement, des données Telegram, des données de Notes et des données de cookies, etc.
Les informations collectées seront compressées et envoyées à un serveur contrôlé par des hackers. Étant donné que le logiciel malveillant incite l'utilisateur à entrer son mot de passe pendant son fonctionnement et collecte les données de KeyChain, les hackers pourraient obtenir le mnémonique du portefeuille de l'utilisateur, sa clé privée et d'autres informations sensibles, ce qui leur permettrait de voler des actifs.
L'adresse IP du serveur des hackers est située aux Pays-Bas et a été marquée comme malveillante par une plateforme de renseignement sur les menaces.
analyse dynamique
Dans un environnement virtuel, exécutez dynamiquement ce programme malveillant et analysez le processus. Il a été observé que le programme malveillant collecte des données de la machine et envoie des informations de surveillance des processus en arrière-plan.
Analyse des flux de fonds
En analysant l'adresse de hacker fournie par la victime, on constate que le hacker a réalisé un bénéfice de plus de 1 million de dollars, incluant USD0++, MORPHO et ETH. Parmi eux, USD0++ et MORPHO ont été échangés contre 296 ETH.
L'adresse du hacker a reçu de petits transferts d'ETH, soupçonnés d'être destinés à couvrir les frais de transaction. L'adresse source des fonds a transféré de petits montants d'ETH vers près de 8 800 adresses, ce qui pourrait indiquer une "plateforme spécialisée dans la fourniture de frais de transaction".
296,45 ETH des fonds volés ont été transférés vers une nouvelle adresse. Cette adresse est impliquée dans plusieurs chaînes, et le solde actuel est de 32,81 ETH. Les principaux chemins de sortie de l'ETH incluent des transferts vers plusieurs adresses, une partie échangée contre des USDT, ainsi que des transferts vers des échanges comme Gate.
Ces adresses étendues sont associées aux transferts sortants ultérieurs avec plusieurs plateformes de trading telles que Bybit, Cryptomus.com, Swapspace, Gate, MEXC, et elles sont liées à plusieurs adresses marquées comme Angel Drainer et Theft. Une partie de l'ETH reste encore sur une certaine adresse.
Les traces de transactions USDT montrent que des fonds ont été transférés vers des plateformes telles que Binance, MEXC, FixedFloat.
Conseils de sécurité
Ces attaques combinent des techniques d'ingénierie sociale et de cheval de Troie, et les utilisateurs doivent faire preuve d'une vigilance particulière. Il est conseillé de vérifier soigneusement avant de cliquer sur le lien de la réunion, d'éviter d'exécuter des logiciels et des commandes d'origine inconnue, d'installer un logiciel antivirus et de le mettre à jour régulièrement. Les utilisateurs peuvent consulter des manuels de sécurité pertinents pour améliorer leur sensibilisation à la sécurité en ligne et leur capacité de protection.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 J'aime
Récompense
8
4
Partager
Commentaire
0/400
consensus_whisperer
· Il y a 5h
Typique ! Encore ce vieux tour.
Voir l'originalRépondre0
DegenRecoveryGroup
· Il y a 5h
C'est une taxe sur le QI, qui t'a demandé de cliquer ?
Voir l'originalRépondre0
DefiSecurityGuard
· Il y a 5h
*soupir* un autre jour, un autre vecteur d'exploitation... ingénierie sociale classique par usurpation de domaine. ngmi si vous tombez encore dans le panneau.
Des liens Zoom contrefaits déclenchent un vol de cryptoactifs de plusieurs millions de dollars, l'acheminement des fonds des hackers révélé.
Une fausse réunion Zoom a déclenché un vol massif de cryptoactifs.
Récemment, plusieurs utilisateurs ont signalé une technique de phishing se faisant passer pour un lien de réunion Zoom. Une victime a perdu des actifs cryptoactifs d'une valeur allant jusqu'à un million de dollars après avoir cliqué sur un lien malveillant et installé un logiciel. Suite à cet incident, l'équipe de sécurité a mené une analyse approfondie et a suivi le flux de fonds des hackers.
Analyse des liens de phishing
Des hackers utilisent des noms de domaine similaires à "app.us4zoom.us" pour se faire passer pour des liens de réunion Zoom normaux. La page ressemble fortement à l'interface réelle d'une réunion Zoom, et lorsque l'utilisateur clique sur le bouton "Démarrer la réunion", cela déclenche le téléchargement d'un paquet malveillant, au lieu de lancer le client Zoom local.
En inspectant ce nom de domaine, nous avons découvert l'adresse des journaux de surveillance des hackers. Après déchiffrement, il s'est avéré que c'est un enregistrement des tentatives de script pour envoyer des messages via l'API Telegram, en russe. Ce site est en ligne depuis 27 jours, les hackers pourraient être russes et ont commencé à cibler pour déployer des logiciels malveillants depuis le 14 novembre, puis à surveiller via l'API Telegram si la cible clique sur le bouton de téléchargement de la page de phishing.
Analyse des logiciels malveillants
Le nom du fichier du package d'installation malveillant est "ZoomApp_v.3.14.dmg". Lorsqu'on l'ouvre, il incite l'utilisateur à exécuter le script malveillant ZoomApp.file dans Terminal et demande de saisir le mot de passe de la machine.
Après avoir décodé le contenu d'exécution du fichier malveillant, il a été découvert qu'il s'agissait d'un script osascript malveillant. Ce script recherche et exécute un fichier exécutable caché nommé ".ZoomApp". Une analyse du disque du paquet d'installation original a effectivement révélé ce fichier exécutable caché.
Analyse des comportements malveillants
analyse statique
Téléchargez le fichier binaire sur la plateforme d'intelligence des menaces pour analyse, il a été marqué comme fichier malveillant. Par l'analyse statique des désassemblages, nous avons découvert que le code d'entrée est utilisé pour le déchiffrement des données et l'exécution de scripts. La plupart des parties de données sont encryptées et codées.
Après déchiffrement, il a été découvert que ce fichier binaire exécutait finalement un script osascript malveillant, qui collecte des informations sur l'appareil de l'utilisateur et les envoie en arrière-plan. Le script énumère différentes informations de chemin d'ID de plugin, lit les informations du KeyChain de l'ordinateur, collecte des informations système, des données de navigateur, des données de portefeuille de chiffrement, des données Telegram, des données de Notes et des données de cookies, etc.
Les informations collectées seront compressées et envoyées à un serveur contrôlé par des hackers. Étant donné que le logiciel malveillant incite l'utilisateur à entrer son mot de passe pendant son fonctionnement et collecte les données de KeyChain, les hackers pourraient obtenir le mnémonique du portefeuille de l'utilisateur, sa clé privée et d'autres informations sensibles, ce qui leur permettrait de voler des actifs.
L'adresse IP du serveur des hackers est située aux Pays-Bas et a été marquée comme malveillante par une plateforme de renseignement sur les menaces.
analyse dynamique
Dans un environnement virtuel, exécutez dynamiquement ce programme malveillant et analysez le processus. Il a été observé que le programme malveillant collecte des données de la machine et envoie des informations de surveillance des processus en arrière-plan.
Analyse des flux de fonds
En analysant l'adresse de hacker fournie par la victime, on constate que le hacker a réalisé un bénéfice de plus de 1 million de dollars, incluant USD0++, MORPHO et ETH. Parmi eux, USD0++ et MORPHO ont été échangés contre 296 ETH.
L'adresse du hacker a reçu de petits transferts d'ETH, soupçonnés d'être destinés à couvrir les frais de transaction. L'adresse source des fonds a transféré de petits montants d'ETH vers près de 8 800 adresses, ce qui pourrait indiquer une "plateforme spécialisée dans la fourniture de frais de transaction".
296,45 ETH des fonds volés ont été transférés vers une nouvelle adresse. Cette adresse est impliquée dans plusieurs chaînes, et le solde actuel est de 32,81 ETH. Les principaux chemins de sortie de l'ETH incluent des transferts vers plusieurs adresses, une partie échangée contre des USDT, ainsi que des transferts vers des échanges comme Gate.
Ces adresses étendues sont associées aux transferts sortants ultérieurs avec plusieurs plateformes de trading telles que Bybit, Cryptomus.com, Swapspace, Gate, MEXC, et elles sont liées à plusieurs adresses marquées comme Angel Drainer et Theft. Une partie de l'ETH reste encore sur une certaine adresse.
Les traces de transactions USDT montrent que des fonds ont été transférés vers des plateformes telles que Binance, MEXC, FixedFloat.
Conseils de sécurité
Ces attaques combinent des techniques d'ingénierie sociale et de cheval de Troie, et les utilisateurs doivent faire preuve d'une vigilance particulière. Il est conseillé de vérifier soigneusement avant de cliquer sur le lien de la réunion, d'éviter d'exécuter des logiciels et des commandes d'origine inconnue, d'installer un logiciel antivirus et de le mettre à jour régulièrement. Les utilisateurs peuvent consulter des manuels de sécurité pertinents pour améliorer leur sensibilisation à la sécurité en ligne et leur capacité de protection.