Un nuovo attacco hacker in città: gli utenti di criptovalute sono stati avvisati di attacchi di phishing mascherati da link per riunioni Zoom

SlowMist ha attirato l'attenzione su una nuova truffa di phishing rivolta agli utenti di criptovalute. La truffa si maschera da finte riunioni Zoom per distribuire malware che ruba dati sensibili. Si tratta di link Zoom contraffatti che inducono le vittime a scaricare file dannosi volti atracasset di criptovaluta.

Secondo la piattaforma di sicurezza blockchain SlowMist, gli aggressori dietro la truffa hanno utilizzato una sofisticata tecnica di phishing che prevedeva un dominio che imitava il dominio Zoom legittimo. Il sito web di phishing, "app[.]us4zoom[.]us", è molto simile all'interfaccia del sito web Zoom originale. 

⚠️Attenzione agli attacchi di phishing mascherati da link per riunioni Zoom!🎣 Gli hacker raccolgono i dati degli utenti e li decifrano per rubare informazioni sensibili come frasi mnemoniche e chiavi private. Questi attacchi spesso combinano tecniche di ingegneria sociale e trojan. Leggi la nostra analisi completa⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 dicembre 2024

Alle vittime viene chiesto di cliccare sul pulsante "Avvia riunione", che si aspettano di essere indirizzate a una sessione Zoom. Tuttavia, invece di aprire l'applicazione Zoom, il pulsante avvia il download di un file dannoso denominato "ZoomApp_v.3.14.dmg"

Scoperto il piano di esecuzione di malware e furto di dati 

Una volta scaricato, il file dannoso attiva uno script che richiede la password di sistema dell'utente. Lo script esegue un file eseguibile nascosto denominato ".ZoomApp", progettato per accedere e raccogliere informazioni di sistema sensibili, inclusi cookie del browser, dati KeyChain edentdel portafoglio di criptovalute. 

Secondo gli esperti di sicurezza, il malware è specificamente progettato per colpire gli utenti di criptovalute, con l'intento di rubare chiavi private e altri dati cruciali del portafoglio. Il pacchetto scaricato, una volta installato, eseguirà uno script chiamato "ZoomApp.file"

Una volta eseguito, lo script chiede agli utenti di inserire la password di sistema, consentendo inconsapevolmente agli hacker di accedere a dati sensibili. 

Dopo aver decifrato i dati, SlowMist ha rivelato che lo script esegue infine un osascript, che trasferisce le informazioni raccolte ai sistemi backend degli aggressori.

SlowMist ha inoltre tracrisalire la creazione del sito di phishing a 27 giorni fa, sospettando il coinvolgimento di hacker russi. Questi hacker avrebbero utilizzato l'API di Telegram per monitorare l'attività sul sito di phishing, tracse qualcuno avesse cliccato sul link per il download. Secondo l'analisi della società di sicurezza, gli hacker avrebbero iniziato a prendere di mira le vittime già dal 14 novembre.

I fondi rubati sono stati spostati attraverso diverse borse 

on-chain tracstrumento diTracper indagare sui movimenti dei fondi rubati. L'indirizzo dell'hacker,dentcome 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, avrebbe fruttato più di 1 milione di dollari in criptovalute, tra cui USD0++, MORPHO ed ETH.

In un'analisi dettagliata, MistTrack ha rivelato che l'indirizzo dell'hacker aveva scambiato USD0++ e MORPHO per 296 ETH.

Ulteriori indagini hanno dimostrato che l'indirizzo dell'hacker riceveva piccoli trasferimenti ETH da un altro indirizzo, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, che sembrava essere responsabile delle commissioni di transazione per il piano dell'hacker. 

È stato scoperto che l'indirizzo trasferisce piccole quantità di ETH a circa 8.800 altri indirizzi, il che suggerisce che potrebbe far parte di una piattaforma più ampia dedicata al finanziamento delle commissioni di transazione per attività illecite.

Una volta raccolti, i fondi rubati sono stati incanalati attraverso diverse piattaforme. Binance, Gate.io, Bybit e MEXC sono stati tra gli exchange che hanno ricevuto la criptovaluta rubata. I fondi sono stati quindi consolidati in un indirizzo diverso, con transazioni che hanno interessato diversi exchange, tra cui FixedFloat e Binance. Lì, i fondi rubati sono stati convertiti in Tether (USDT) e altre criptovalute.

I criminali dietro questo schema sono riusciti a sfuggire alla cattura diretta utilizzando metodi complessi per riciclare e convertire i loro guadagni illeciti in criptovalute ampiamente utilizzate. SlowMist ha avvertito gli appassionati di criptovalute che il sito di phishing e gli indirizzi associati potrebbero continuare a prendere di mira ignari utenti di criptovalute.