假Zoom会议钓鱼攻击揭秘：损失超百万美元

2024-12-27 21:00:00

近期通过伪装成 Zoom 会议链接进行的钓鱼攻击，导致用户损失超过 100 万美元，揭示了网络安全威胁的复杂性及其对加密资产的影响。

背景 📉

最近，X 平台上出现了一种新型钓鱼攻击，黑客伪装成 Zoom 会议链接，搞得用户们心慌慌。有个不幸的小伙伴在点击了这个虚假的 Zoom 会议链接后，结果安装了恶意软件，损失了高达百万美元的加密资产。为了揭开这个阴谋，微小发报道的安全团队深入分析了这些钓鱼事件和黑客的资金流向。

钓鱼链接分析 🔗

黑客使用的域名像是「app[.]us4zoom[.]us」，假装成正常的 Zoom 会议链接，页面简直与真 Zoom 一模一样。当用户点下「启动会议」按钮时，实际上下载的是恶意安装包，而不是启动 Zoom 客户端。

在对这个域名进行探测时，我们发现了黑客的监控日志地址。经过解密，发现这些日志是脚本试图通过 Telegram API 发送消息时的记录，使用的语言居然是俄语。

这个网站大概在 27 天前上线，黑客可能是俄罗斯人，从 11 月 14 日开始就寻找目标，利用 Telegram API 监视是否有人点击钓鱼页面的下载按钮。

恶意软件分析 🦠

这个恶意安装包的文件名是「ZoomApp_v.3.14.dmg」。打开后会诱导用户在 Terminal 中执行 ZoomApp.file 的恶意脚本，过程中还会要求用户输入本机密码。

以下是该恶意文件的执行内容：

解码后发现，实际上这是一个恶意的 osascript 脚本。继续深入分析，发现这个脚本会寻找名为「.ZoomApp」的隐藏可执行文件并在本地运行。我们对原始安装包「ZoomApp_v.3.14.dmg」进行了磁盘分析，确实隐藏了一个名为「.ZoomApp」的可执行文件。

恶意行为分析 🔍

在静态分析阶段，我们将这个二进制文件上传到威胁情报平台进行分析，结果显示该文件已经被标记为恶意文件。通过静态反汇编分析，👀下图展示了该二进制文件的入口代码，主要用于数据解密与脚本执行。

🔍数据解析后发现，很多信息均经过了加密和编码。解密后，发现这个二进制文件最终会执行恶意的 osascript 脚本，该脚本的功能是收集用户设备信息并传送到后台。

🔑 下面是枚举不同插件 ID 路径信息的代码片段。

💻 还有一部分是读取电脑 KeyChain 信息的相关代码。

恶意代码在收集系统信息、浏览器数据、加密钱包数据、Telegram 数据、Notes 笔记数据和 Cookie 数据后，会将这些信息压缩并发送至黑客控制的服务器 (141.98.9.20)。

⚠️ 需要注意的是，恶意程序在运行时会诱导用户输入密码，后续的恶意脚本也会尝试采集电脑中的 KeyChain 数据（可能包含用户保存的各种密码），黑客收集后会试图解密数据，从而获取用户的钱包助记词、私钥等敏感信息，盗取用户资产。

经分析，黑客服务器的 IP 地址位于荷兰，已被威胁情报平台标记为恶意。

动态分析

在虚拟环境中动态执行该恶意程序并进行进程分析，📊下图显示了恶意程序采集本机数据的进程以及发送数据到后台的监控信息。

MistTrack 分析

我们使用链上追踪工具 MistTrack 分析受害者提供的黑客地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac：黑客地址获利超 100 万美金，其中包括 USD0++、MORPHO 和 ETH；而 USD0++ 和 MORPHO 被兑换为 296 ETH。💰 据微小发报道，黑客地址曾接收来自地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 的小额 ETH，怀疑是为了支付手续费。这个地址（0xb01c）只来源于一个地址，却将小额 ETH 转出到近 8,800 个地址，像个「手续费专供平台」一样。

在分析中，发现该地址（0xb01c）转出的恶意地址中，有两个与钓鱼活动相关，其中一个被标记为 Pink Drainer。进一步调查显示，这两个钓鱼地址的资金主要转到了 ChangeNOW 和 MEXC。

接下来，分析被盗资金的流向，发现总共 296.45 ETH 被转移到新地址 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。

新地址（0xdfe7）在 2023 年 7 月首次进行交易，涉及多条链，目前的余额为 32.81 ETH。

新地址（0xdfe7）主要的 ETH 转出路径如下：

200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> 兑换为 15,720 USDT
14.39 ETH -> Gate.io

这串转出地址后续与多个平台如 Bybit、Cryptomus.com、Swapspace、Gate.io 和 MEXC 相关联，并与 MistTrack 标记的 Angel Drainer 和 Theft 等多个地址相连。此外，地址 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 上还有 99.96 ETH 暂时停留。

新地址（0xdfe7）在 USDT 的交易记录也很活跃，资金流向 Binance、MEXC、FixedFloat 等平台。本次分享的钓鱼手法，黑客伪装成正常的 Zoom 会议链接，诱惑用户下载恶意软件。😱

这些恶意软件不仅能收集系统信息、窃取浏览器数据，还会获取你的加密货币钱包信息，简直是个数据窃贼！💰 数据会被悄悄传送到黑客控制的服务器上。此类攻击通常是社会工程学和木马攻击的结合，用户稍不留神就容易中招。

慢雾安全团队强烈建议用户在点击会议链接前，仔细验证，确保不执行来源不明的软件和命令。此外，记得安装杀毒软件并定期更新，安全第一！🛡️

Reminder: Develop a sound understanding of currency and investment, approach blockchain rationally, and stay aware of risks. Report any illegal activities to the authorities

温馨提醒，请广大读者树立正确的货币观念和投资理念，理性看待区块链，切实提高风险意识；对发现的违法犯罪线索，可积极向有关部门举报反映。