Sahte Zoom toplantı bağlantıları büyük ölçekli Kripto Varlıklar hırsızlık olaylarına yol açtı
Son zamanlarda, birçok kullanıcı, Zoom toplantı bağlantısı gibi gizlenen bir phishing saldırısı yöntemini bildirdi. Bir kurban, kötü niyetli bağlantıya tıkladıktan ve yazılımı kurduktan sonra, kripto varlıkları çalındı ve kayıplar 1 milyon dolara kadar ulaştı. Bu olayla ilgili olarak, güvenlik ekibi derinlemesine bir analiz yaptı ve hackerların fon akışını takip etti.
Phishing link analizi
Korsanlar, normal Zoom toplantı bağlantısını taklit eden "app.us4zoom.us" gibi alan adları kullanıyor. Sayfa, gerçek Zoom toplantı arayüzüne son derece benziyor ve kullanıcı "Toplantıyı Başlat" butonuna tıkladığında, yerel Zoom istemcisini başlatmak yerine kötü amaçlı bir yükleme paketi indirilmesini tetikliyor.
Bu alan adının araştırılması sonucunda, hacker'ın izleme günlükleri adresi bulundu. Şifrelemeden sonra, bunun bir script'in Telegram API üzerinden mesaj göndermeye çalıştığına dair kayıtlar olduğu ortaya çıktı, kullanılan dil Rusça. Bu site 27 gündür yayında, hacker muhtemelen Rus ve 14 Kasım'dan itibaren hedefleri kötü amaçlı yazılım yaymak için aramaya başlamış, ardından Telegram API aracılığıyla hedefin oltalama sayfasının indirme butonuna tıklayıp tıklamadığını izlemektedir.
Kötü Amaçlı Yazılım Analizi
Kötü niyetli kurulum dosyasının adı "ZoomApp_v.3.14.dmg". Açıldığında kullanıcıları Terminal'de ZoomApp.file kötü niyetli betiğini çalıştırmaya ikna edecek ve yerel şifreyi girmelerini isteyecektir.
Kötü amaçlı dosyanın yürütme içeriği çözüldüğünde, bunun kötü amaçlı bir osascript betiği olduğu ortaya çıktı. Bu betik, ".ZoomApp" adlı gizli bir yürütülebilir dosyayı bulup çalıştıracaktır. Orijinal kurulum paketinin disk analizi yapıldığında, gerçekten de bu gizli yürütülebilir dosya bulundu.
Kötü Niyetli Davranış Analizi
Statik Analiz
İkili dosyayı tehdit istihbarat platformuna yükleyin, kötü amaçlı dosya olarak işaretlendi. Statik tersine mühendislik analizi ile, giriş kodunun veri şifrelemesi ve komut dosyası yürütmek için kullanıldığı bulundu. Veri kısmı genellikle şifrelenmiş ve kodlanmıştır.
Şifre çözüldükten sonra, bu ikili dosyanın nihayetinde kötü niyetli bir osascript betiği yürüttüğü ortaya çıktı; bu betik, kullanıcı cihaz bilgilerini toplar ve arka plana gönderir. Betik, farklı eklenti ID yol bilgilerini sıralar, bilgisayarın KeyChain bilgilerini okur, sistem bilgilerini, tarayıcı verilerini, kripto cüzdan verilerini, Telegram verilerini, Notlar verilerini ve çerez verilerini toplar.
Toplanan bilgiler sıkıştırılacak ve hacker kontrolündeki sunucuya gönderilecektir. Kötü amaçlı yazılım çalışırken kullanıcıyı şifre girmeye teşvik eder ve KeyChain verilerini toplar, bu sayede hacker kullanıcıların cüzdan kurtarma kelimelerini, özel anahtarlarını ve diğer hassas bilgilerini elde edebilir ve varlıkları çalabilir.
Korsan sunucusunun IP adresi Hollanda'da bulunuyor ve tehdit istihbarat platformu tarafından kötü niyetli olarak işaretlendi.
Dinamik Analiz
Sanal ortamda bu kötü amaçlı yazılımı dinamik olarak çalıştırarak süreçleri analiz ettim ve kötü amaçlı yazılımın yerel verileri topladığını ve verileri arka plana gönderen süreç izleme bilgilerini gözlemledim.
Fon Akışı Analizi
Analiz edilen mağdur tarafından sağlanan hacker adresi, hacker'ın 1 milyon dolardan fazla kazanç sağladığını gösteriyor. Bu kazançlar arasında USD0++, MORPHO ve ETH bulunuyor. Bunlar arasında USD0++ ve MORPHO 296 ETH'ye dönüştürülmüş.
Hacker adresi daha önce küçük miktarda ETH transferi almış, muhtemelen işlem ücreti sağlamak için. Fon kaynak adresi yaklaşık 8,800 adrese küçük miktarda ETH göndermiş, bu muhtemelen "işlem ücreti sağlayan bir platform".
Çalınan fonlardan 296.45 ETH yeni bir adrese transfer edildi. Bu adres birden fazla zincirle bağlantılıdır ve mevcut bakiye 32.81 ETH'dir. Ana ETH transfer yolları, birden fazla adrese para gönderilmesi, bir kısmının USDT'ye çevrilmesi ve Gate gibi borsalara aktarılmasını içermektedir.
Bu genişletilmiş adreslerin sonraki çıkışları, Bybit, Cryptomus.com, Swapspace, Gate, MEXC gibi birçok ticaret platformuyla ilişkilidir ve Angel Drainer ve Theft olarak işaretlenen birçok adresle bağlantılıdır. Bazı ETH hala belirli bir adreste kalmaktadır.
USDT işlem izleri, fonların Binance, MEXC, FixedFloat gibi platformlara aktarıldığını göstermektedir.
Güvenlik Önerileri
Bu tür saldırılar, sosyal mühendislik saldırıları ve trojan saldırı tekniklerini birleştirir; kullanıcıların ekstra dikkatli olması gerekir. Toplantı bağlantısına tıklamadan önce dikkatlice doğrulama yapmaları, kaynağı belirsiz yazılımları ve komutları çalıştırmaktan kaçınmaları, antivirüs yazılımı kurmaları ve düzenli olarak güncellemeleri önerilir. Kullanıcılar, ilgili güvenlik kılavuzlarına başvurarak kendi siber güvenlik farkındalıklarını ve koruma yeteneklerini artırabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
4
Share
Comment
0/400
consensus_whisperer
· 5h ago
Klasik! Yine bu eski numara.
View OriginalReply0
DegenRecoveryGroup
· 5h ago
Zeka vergisi işte, kimse seni tıklamaya zorlamadı.
View OriginalReply0
DefiSecurityGuard
· 5h ago
*sigh* bir başka gün, bir başka istismar vektörü... alan sahteciliği yoluyla klasik sosyal mühendislik. hala bu tuzaklara düşüyorsanız ngmi
Sahte Zoom linkleri, milyon dolarlık Kripto Varlıklar hırsızlığına yol açtı. Hacker'ın fon akışı ifşa edildi.
Sahte Zoom toplantı bağlantıları büyük ölçekli Kripto Varlıklar hırsızlık olaylarına yol açtı
Son zamanlarda, birçok kullanıcı, Zoom toplantı bağlantısı gibi gizlenen bir phishing saldırısı yöntemini bildirdi. Bir kurban, kötü niyetli bağlantıya tıkladıktan ve yazılımı kurduktan sonra, kripto varlıkları çalındı ve kayıplar 1 milyon dolara kadar ulaştı. Bu olayla ilgili olarak, güvenlik ekibi derinlemesine bir analiz yaptı ve hackerların fon akışını takip etti.
Phishing link analizi
Korsanlar, normal Zoom toplantı bağlantısını taklit eden "app.us4zoom.us" gibi alan adları kullanıyor. Sayfa, gerçek Zoom toplantı arayüzüne son derece benziyor ve kullanıcı "Toplantıyı Başlat" butonuna tıkladığında, yerel Zoom istemcisini başlatmak yerine kötü amaçlı bir yükleme paketi indirilmesini tetikliyor.
Bu alan adının araştırılması sonucunda, hacker'ın izleme günlükleri adresi bulundu. Şifrelemeden sonra, bunun bir script'in Telegram API üzerinden mesaj göndermeye çalıştığına dair kayıtlar olduğu ortaya çıktı, kullanılan dil Rusça. Bu site 27 gündür yayında, hacker muhtemelen Rus ve 14 Kasım'dan itibaren hedefleri kötü amaçlı yazılım yaymak için aramaya başlamış, ardından Telegram API aracılığıyla hedefin oltalama sayfasının indirme butonuna tıklayıp tıklamadığını izlemektedir.
Kötü Amaçlı Yazılım Analizi
Kötü niyetli kurulum dosyasının adı "ZoomApp_v.3.14.dmg". Açıldığında kullanıcıları Terminal'de ZoomApp.file kötü niyetli betiğini çalıştırmaya ikna edecek ve yerel şifreyi girmelerini isteyecektir.
Kötü amaçlı dosyanın yürütme içeriği çözüldüğünde, bunun kötü amaçlı bir osascript betiği olduğu ortaya çıktı. Bu betik, ".ZoomApp" adlı gizli bir yürütülebilir dosyayı bulup çalıştıracaktır. Orijinal kurulum paketinin disk analizi yapıldığında, gerçekten de bu gizli yürütülebilir dosya bulundu.
Kötü Niyetli Davranış Analizi
Statik Analiz
İkili dosyayı tehdit istihbarat platformuna yükleyin, kötü amaçlı dosya olarak işaretlendi. Statik tersine mühendislik analizi ile, giriş kodunun veri şifrelemesi ve komut dosyası yürütmek için kullanıldığı bulundu. Veri kısmı genellikle şifrelenmiş ve kodlanmıştır.
Şifre çözüldükten sonra, bu ikili dosyanın nihayetinde kötü niyetli bir osascript betiği yürüttüğü ortaya çıktı; bu betik, kullanıcı cihaz bilgilerini toplar ve arka plana gönderir. Betik, farklı eklenti ID yol bilgilerini sıralar, bilgisayarın KeyChain bilgilerini okur, sistem bilgilerini, tarayıcı verilerini, kripto cüzdan verilerini, Telegram verilerini, Notlar verilerini ve çerez verilerini toplar.
Toplanan bilgiler sıkıştırılacak ve hacker kontrolündeki sunucuya gönderilecektir. Kötü amaçlı yazılım çalışırken kullanıcıyı şifre girmeye teşvik eder ve KeyChain verilerini toplar, bu sayede hacker kullanıcıların cüzdan kurtarma kelimelerini, özel anahtarlarını ve diğer hassas bilgilerini elde edebilir ve varlıkları çalabilir.
Korsan sunucusunun IP adresi Hollanda'da bulunuyor ve tehdit istihbarat platformu tarafından kötü niyetli olarak işaretlendi.
Dinamik Analiz
Sanal ortamda bu kötü amaçlı yazılımı dinamik olarak çalıştırarak süreçleri analiz ettim ve kötü amaçlı yazılımın yerel verileri topladığını ve verileri arka plana gönderen süreç izleme bilgilerini gözlemledim.
Fon Akışı Analizi
Analiz edilen mağdur tarafından sağlanan hacker adresi, hacker'ın 1 milyon dolardan fazla kazanç sağladığını gösteriyor. Bu kazançlar arasında USD0++, MORPHO ve ETH bulunuyor. Bunlar arasında USD0++ ve MORPHO 296 ETH'ye dönüştürülmüş.
Hacker adresi daha önce küçük miktarda ETH transferi almış, muhtemelen işlem ücreti sağlamak için. Fon kaynak adresi yaklaşık 8,800 adrese küçük miktarda ETH göndermiş, bu muhtemelen "işlem ücreti sağlayan bir platform".
Çalınan fonlardan 296.45 ETH yeni bir adrese transfer edildi. Bu adres birden fazla zincirle bağlantılıdır ve mevcut bakiye 32.81 ETH'dir. Ana ETH transfer yolları, birden fazla adrese para gönderilmesi, bir kısmının USDT'ye çevrilmesi ve Gate gibi borsalara aktarılmasını içermektedir.
Bu genişletilmiş adreslerin sonraki çıkışları, Bybit, Cryptomus.com, Swapspace, Gate, MEXC gibi birçok ticaret platformuyla ilişkilidir ve Angel Drainer ve Theft olarak işaretlenen birçok adresle bağlantılıdır. Bazı ETH hala belirli bir adreste kalmaktadır.
USDT işlem izleri, fonların Binance, MEXC, FixedFloat gibi platformlara aktarıldığını göstermektedir.
Güvenlik Önerileri
Bu tür saldırılar, sosyal mühendislik saldırıları ve trojan saldırı tekniklerini birleştirir; kullanıcıların ekstra dikkatli olması gerekir. Toplantı bağlantısına tıklamadan önce dikkatlice doğrulama yapmaları, kaynağı belirsiz yazılımları ve komutları çalıştırmaktan kaçınmaları, antivirüs yazılımı kurmaları ve düzenli olarak güncellemeleri önerilir. Kullanıcılar, ilgili güvenlik kılavuzlarına başvurarak kendi siber güvenlik farkındalıklarını ve koruma yeteneklerini artırabilirler.