SlowMist hat auf eine neue Phishing-Masche aufmerksam gemacht, die es auf Kryptowährungsnutzer abgesehen hat. Die Masche tarnt sich als gefälschte Zoom-Meetings, um Schadsoftware zu verbreiten, die sensible Daten stiehlt. Dabei werden gefälschte Zoom-Links verwendet, die die Opfer dazu verleiten, schädliche Dateien herunterzuladen, die darauftrac, Kryptowährungen zu stehlen.
Laut der Blockchain-Sicherheitsplattform SlowMist nutzten die Angreifer hinter dem Betrug eine ausgeklügelte Phishing-Technik mit einer Domain, die die offizielle Zoom-Domain täuschend echt imitierte. Die Phishing-Website „app[.]us4zoom[.]us“ sieht der Benutzeroberfläche der echten Zoom-Website zum Verwechseln ähnlich.
⚠️Vorsicht vor Phishing-Angriffen, die als Zoom-Meeting-Links getarnt sind!🎣 Hacker sammeln Nutzerdaten und entschlüsseln sie, um sensible Informationen wie Wiederherstellungsphrasen und private Schlüssel zu stehlen. Diese Angriffe kombinieren häufig Social Engineering und Trojaner-Techniken. Lesen Sie unsere vollständige Analyse⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27. Dezember 2024
Die Opfer werden aufgefordert, auf die Schaltfläche „Meeting starten“ zu klicken, in der Erwartung, dadurch zu einer Zoom-Sitzung weitergeleitet zu werden. Anstatt jedoch die Zoom-Anwendung zu öffnen, startet die Schaltfläche den Download einer schädlichen Datei mit dem Namen „ZoomApp_v.3.14.dmg“
Malware-Ausführung und Datendiebstahl-Masche aufgedeckt
Nach dem Herunterladen löst die Schadsoftware ein Skript aus, das das Systempasswort des Benutzers anfordert. Dieses Skript führt eine versteckte ausführbare Datei namens „.ZoomApp“ aus, die darauf ausgelegt ist, sensible Systeminformationen, darunter Browser-Cookies, Keychain-Daten unddentfür Kryptowährungs-Wallets, abzurufen und zu sammeln.
Laut Sicherheitsexperten ist die Schadsoftware speziell auf Kryptowährungsnutzer zugeschnitten, um private Schlüssel und andere wichtige Wallet-Daten zu stehlen. Das heruntergeladene Paket führt nach der Installation ein Skript namens „ZoomApp.file“ aus
Bei der Ausführung fordert das Skript die Benutzer zur Eingabe ihres Systempassworts auf und ermöglicht so unwissentlich Hackern den Zugriff auf sensible Daten.
Nach der Entschlüsselung der Daten stellte SlowMist fest, dass das Skript letztendlich ein osascript , welches die gesammelten Informationen an die Backend-Systeme der Angreifer überträgt.
SlowMist konnte die Erstellung der Phishing-Seite auf 27 Tage zurückverfolgen trac vermutet die Beteiligung russischer Hacker. Diese Hacker nutzten die Telegram-API, um die Aktivitäten auf der Phishing-Seite zu überwachen und zu verfolgen, trac jemand auf den Download-Link geklickt hatte. Laut der Analyse des Sicherheitsunternehmens begannen die Hacker bereits am 14. November, Opfer ins Visier zu nehmen.
Gestohlene Gelder wurden über mehrere Börsen transferiert
SlowMist nutzte das On-Chain trac -Tool MistTrack Trac um die Bewegungen gestohlener Gelder untersuchen dent als 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, soll Berichten zufolge Kryptowährungen im Wert von über einer Million US-Dollar, darunter USD0++, MORPHO und ETH, erbeutet haben.
In einer detaillierten Analyse enthüllte MistTrac, dass die Hackeradresse USD0++ und MORPHO gegen 296 ETH getauscht hatte.
Weitere Untersuchungen ergaben, dass die Adresse des Hackers kleine ETH-Überweisungen von einer anderen Adresse, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, erhielt, die offenbar für die Bereitstellung von Transaktionsgebühren für das System des Hackers verantwortlich war.
Es wurde festgestellt, dass von dieser Adresse kleine Mengen ETH an fast 8.800 andere Adressen transferiert wurden, was darauf hindeutet, dass sie Teil einer größeren Plattform sein könnte, die der Finanzierung von Transaktionsgebühren für illegale Aktivitäten dient.
Nachdem die gestohlenen Gelder gesammelt worden waren, wurden sie über verschiedene Plattformen geleitet. Binance, Gate.io, Bybit und MEXC gehörten zu den Börsen, die die gestohlenen Kryptowährungen entgegennahmen. Die Gelder wurden anschließend auf einer anderen Adresse zusammengeführt, von wo aus Transaktionen an mehrere Börsen, darunter FixedFloat und Binance, flossen. Dort wurden die gestohlenen Gelder in Tether (USDT) und andere Kryptowährungen umgewandelt.
illegalen Gewinne in gängige Kryptowährungen der direkten Festnahme entziehen
